- 综合排序
- 最热优先
- 最新优先
- 来自专栏2024年网络安全宣传周
网络安全宣传周 - 供应链安全
1.1 供应链安全,网络安全关键防线在当今数字化时代,网络安全已成为国家、社会、企业乃至个人绕不开的重要命题。而供应链安全作为网络安全的关键防线,其重要性不言而喻。 而供应链安全问题可能会导致关键信息基础设施的停服断供、安全漏洞等,严重危害国家安全。1.2 机遇与挑战并存,构建安全堡垒在复杂的网络安全环境下,供应链安全既面临着挑战,也蕴含着机遇。 深圳市气象局出台《深圳市气象局供应链网络安全管理实施细则》,明确工作职责,形成涵盖全生命周期的供应链网络安全管理规范标准和实践指南体系,强化供应链安全事件应急响应及处置要求。 例如,出台供应链网络安全管理实施细则,形成涵盖全生命周期的供应链网络安全管理规范标准和实践指南体系,强化供应链安全事件应急响应及处置要求。加强安全监控是保障供应链安全的重要手段。 企业应细化供应链网络安全风险评估内容,构建全流程供应链安全评估机制,实现可快速识别并修复供应链开发、交付和使用环节实体要素存在的安全风险,最大限度消除供应链安全隐患,维护网络空间安全。
93910编辑于 2024-11-02 - 来自专栏tea9的博客
软件供应链安全简析
供应链安全背景 近年来,针对软件供应链的安全攻击事件呈快速增长态势,造成的危害也越来越大。 供应链安全将是未来的重要挑战,从网络安全角度去思考的话,可以明显看到当前的商业组织似乎更多的关注自身网络安全建设,但日防夜防、“家贼”难防,任何一个薄弱的供应链都可能成为这个难防的“家贼”。 2021年5月12日,美国发布了《关于改善国家网络安全》的第14028号行政命令(EO),明确要求美国联邦政府加强软件供应链安全管控,迅速提高软件供应链的安全性和完整性。 、开源软件更新与安装 3.权限最小化:内部系统遵循权限最小化原则,按需使用,权限应该经过审批后发放,重要系统保留访问日志 4.供应商安全可靠性评估:针对第三方、合作伙伴、商软提供商,评估安全资质如三级等保及相关安全证明 、代码过程中准入机制 1.开源组件接入前扫描软件成分(SCA)、代码安全检测(SAST) 2.代码上线前扫描软件成分、代码安全检测 3.制定组件安全红线,红线内组件及漏洞需要上线前修复完成 4.持续跟进未升级组件
1.1K20编辑于 2023-02-28 - 来自专栏旅途散记
谷歌的开源供应链安全
摘要 谷歌在开源软件供应链安全方面的工作 介绍供应链安全概念和不同类型的攻击案例 加强理解软件供应链,探索构建、分析方法 使用加密签名、构建可重现的构建流程保障供应链安全 提倡内存安全编程语言如 如果你想了解更多或参考这些内容,这些幻灯片已经发布在go.dev/s/acmscored [3]上。 今天的演讲主题是Google的开源供应链安全。首先,让我们了解一下“供应链安全”到底是什么意思。 现在我们可以将开源供应链安全定义为防御开源供应链攻击和开源供应链漏洞的工程。 供应链安全是整个行业都在努力解决的问题,我们都在寻求有意义的进步。今天,我将重点介绍谷歌在软件供应链安全方面的工作。 总体来说,我们的方法分为三个部分:了解供应链、加强供应链和监控供应链。 我想进一步缩小范围,看看1972年3月美国过去半个世纪的开源供应链安全。当时,美国空军开始对霍尼韦尔Multics系统进行审查,以了解其是否可以在安全环境中使用。
61610编辑于 2023-12-19 - 来自专栏FreeBuf
聊聊供应链安全:建议与方法
建议方法 供应链就是以合适的价格、地点和时间为顾客提供他们需要的资源。供应链安全是一个多学科的问题,需要业务、客户支持和IT之间的密切协作和执行,这有其自身的挑战。 来自内部人员或攻击者的数据泄露、勒索软件攻击和恶意活动可能发生在供应链的任意环节。即使是本地化到单个供应商或第三方供应商的安全事件,也可能严重扰乱计划、制定和交付过程。 供应链安全管理主要涉及五个方面 数据保护。数据是商业交易的核心,必须在静态和运行中保护并控制数据,以防止违规和篡改。安全的数据交换还包括信任其他来源,无论是第三方还是电子商务网站。 供应链安全建议 供应链安全需要多方面考虑。没有万能方案,但是组织可以用分层防御的组合来保护供应链。由于专注供应链安全的团队使威胁参与者更难实施攻击,因此获得了更多的时间来检测恶意活动并采取行动。 这里是一些组织追求管理和减轻供应链安全风险的重要战略。 安全战略评估。要评估风险与合规性,需要针对业务挑战、需求和目标评估现有的安全治理框架——包括数据隐私、第三方风险和IT法规合规需求及差距。
1.5K10发布于 2021-02-08 - 来自专栏FreeBuf
聊聊供应链安全:政策与问题
今天,来聊聊供应链安全,后面将会从政策、主要问题、方法、美国ICT SCRM实践等方面谈谈供应链。 8.2.6.2 供应链管理(云计算) b) 应将供应链安全事件信息或安全威胁信息及时传达到云服务客户; c) 应将供应商的重要变更及时传达到云服务客户,并评估变更带来的安全风险,采取措施对风险进行控制。 (配置、漏洞、补丁、病毒库)、供应链安全管理策略、安全运维策略等。 7.7.2 供应链安全保护 运营者应: a)制定供应链安全管理策略,包括:风险管理策略、供应商选择和管理策略、产品开发采购策略、安全维护策略等。 b)建立供应链安全管理制度,设置相应的供应链安全管理部门,提供用于供应链安全管理的资金、人员和权限等可用资源。
83110编辑于 2023-04-26 - 来自专栏DevOps持续集成
安全软件供应链6个交付管道安全最佳实践
这些软件供应链组件中的任何一个弱点都可能是软件供应链攻击中使用的入口点或支点。当你考虑到我们的软件供应链已经变得很复杂时,2021 年软件供应链攻击增加了 51%也就不足为奇了。 交付管道和软件供应链安全 为了支持快速、迭代和高质量的部署,托管 VCS 和 CI/CD 管道已成为云原生组织的命脉。 在这篇文章中,我们将研究 VCS 和 CI/CD 管道中一些最常见的安全漏洞,这些漏洞可能会使供应链受到攻击。然后,我们将介绍安全专业人员可以实施以减轻供应链攻击的几个最佳实践。 但是,它们的默认配置并未考虑到安全性。再加上它们处于软件供应链的中心,这使得它们很容易成为黑客的目标。 为了保护他们的软件供应链,组织应该采取预防性的、纵深防御的方法来遵循 VCS 和 CI/CD 安全最佳实践,并利用策略即代码来随着时间的推移执行最佳实践。
94730编辑于 2022-12-29 - 来自专栏腾讯研究院的专栏
半导体:趋势、周期和供应链安全
半导体是产品竞争力的重要组成部分,也是影响产业链和国家安全的关键环节。 芯片的生产发生在一个全球性的、复杂的供应链中,并且在一些重要环节呈过于集中趋势,只有少数几家公司(甚至只有一家)能参与其中。 近年受新冠疫情和地缘政治等多重因素影响,全球缺“芯”日益严重,进一步暴露出半导体供应链的脆弱性。半导体是高水平科技自立自强的重要领域,是必须打赢的一场攻坚战。 本文作者: 闫德利 腾讯研究院资深专家
43510编辑于 2023-11-16 - 来自专栏云云众生s
清洁的容器镜像:供应链安全革命
供应链安全 初创公司 Chainguard 在过去四年多的时间里,一直试图改变开发者和企业看待和使用 容器镜像 以及其中包含的 开源组件 的方式。 可视化 CVE 该公司本周 宣布正式推出 CVE Visualizations,这是 Chainguard Console 中的最新功能,是一个获取从安全到产品更新等所有信息的一站式平台。 借助这项新功能,组织可以更好地量化使用 Chainguard 的无 CVE 镜像所带来的工程、安全和财务效益。 这一切的基础是 Wolfi,Chainguard 定制的 Linux 发行版——或者他们称之为(非)发行版——它在构建时具有默认安全性,适用于 supply chain。 Dunn 说这没有道理,他将其与在没有农业部确保食品安全的情况下在超市购物的想法进行了比较。他说,如果这个世界的食品购买者有开发者的心态,他们会将购买不安全食品的风险视为做生意的成本。
27800编辑于 2025-02-09 - 来自专栏安全攻防
企业供应链安全体系建设思考
企业供应链安全信息安全里面的供应链安全,是狭义范围的供应链安全,其最终安全问题是体现在应用系统上的问题。 供应链的软件组件会持续支撑整个应用系统的生命周期,如果组件出现问题,会直接影响到应用系统的可用性安全性。应用系统的供应链安全,实际上是由三个部分组成的。 分别是应用安全里面软件开发中的依赖包(log4j),基础安全里面的应用运行组件(phpstudy),办公安全里的开发IDE(xcodeghost)。 供应链安全的建设落地1、状态调研及评估:调研安全建设状态,评估建设完成度。2、决策工作内容:结合调研结果,结合公司整体的建设方案,来决定工作内容,内容顺序,落地方案。 供应链安全建设中,优先级最高的是依赖包供应链的安全建设,其次是基础IT组件,其次是办公终端IDE安全。
34910编辑于 2023-08-25 - 来自专栏小程序类
软件供应链安全事件频发,安全问题怎样保障
享受便利的同时问题也随之而来,以上的软件供应链安全事件也层出不穷。为了保护自己免受此类攻击,企业必须超越传统的、有风险的 "信任但核实 "的网络安全方法。 3、信息安全风险。 在信息化程度比较高的金融业,软件作为金融信息基础设施的重要组成部分,安全问题将直接影响金融信息系统的安全稳定运行。对于企业来说,如何把软件供应链里的“恶意”关在笼子里?或许安全沙箱一种可操作的手段。 在云计算的环境下,云原生型安全沙箱技术也在演进,有望在企业环境中,对软件供应链安全问题提供一部分“治标”的解决方案(“治本”还得更加长期、综合、涉及面更广的综合策略)。 但是对于通过供应链污染而“播种”内鬼的安全攻击,似乎这是最有效的手段。
77930编辑于 2022-10-26 - 来自专栏资讯分享
半导体:趋势、周期和供应链安全
半导体是产品竞争力的重要组成部分,也是影响产业链和国家安全的关键环节。 芯片的生产发生在一个全球性的、复杂的供应链中,并且在一些重要环节呈过于集中趋势,只有少数几家公司(甚至只有一家)能参与其中。 近年受新冠疫情和地缘政治等多重因素影响,全球缺“芯”日益严重,进一步暴露出半导体供应链的脆弱性。半导体是高水平科技自立自强的重要领域,是必须打赢的一场攻坚战。
42220编辑于 2023-07-26 - 来自专栏网络安全
全球供应链安全警钟:七大知名供应链攻击事件回顾
本文星尘安全就带着大家一起,来回顾一下近年来全球知名的七大供应链安全事件。 该事件促使美国总统拜登签署了《网络安全强化行政令》,以加强联邦网络安全防御。 3. 7. 3CX供应链攻击事件(2023年) 事件经过 2023年3月,3CX的桌面客户端应用程序成为一场大规模供应链攻击的目标。 攻击者通过篡改3CX的合法软件更新,将恶意软件嵌入用户系统中。攻击的曝光引发了广泛的关注和连锁反应,许多安全公司和企业用户都对此展开紧急应对。 总结 这些全球知名的供应链攻击事件,展示了供应链安全的脆弱性与复杂性。
5.1K10编辑于 2024-09-25 - 来自专栏SAP最佳业务实践
mySAP 供应链管理-成功故事3
SAP高级计划优化器与SAP R/3系统的紧密集成即实现了供应链的一体化管理,同时也确保了全球企业内的精确计划数据计算。 "SAP R/3系统和SAP高级计划优化器的紧密集成为我们公司确立了决定性的优势。" ------Klaus Godzik博士,供应链项目主管 "SAP R/3系统和SAP高级计划优化器的紧密集成为我们公司确立了决定性的优势。" 更有效的集成,更快的速度 "主要优势在于SAP高级计划优化器能和SAP R/3系统完美的结合。"项目主管Klaus Godzik博士说,"他们的联合赋予了我们更广泛的功能以实现更为高效的供应链管理。 "主要优势在于SAP高级计划优化器能和SAP R/3系统完美的结合起来,他们的联合赋予了我们更广泛的功能以实现更为高效的供应链管理。"
79580发布于 2018-03-27 - 来自专栏云云众生s
通过 Backstage 确保你的软件供应链安全
通过 Backstage 确保你的软件供应链安全 一个内部开发者门户可以帮助您整合和演化您的安全策略。 正如 Cloud Native Computing Foundation(CNCF) 安全工作组所述:“供应链需要多个关联的流程,供应链安全依赖于对每个流程的验证和验证。” 统一的安全视图 根据 CNCF 的说法,确保供应链安全的一个关键步骤是确保“内部的、第一方的源代码仓库……通过提交签名、漏洞扫描、贡献规则和策略执行得到保护和安全”。 了解您的整体安全演变 当您通过目录进行所有权排序,并通过 Scaffolder 主动推动最佳实践时,下一步是了解您的整体软件供应链安全工具。 您还可以跟踪您的供应链安全的演变以及实践在整个组织中的采用情况。
28110编辑于 2024-03-27 - 来自专栏云云众生s
开源安全供应链走向成熟的2023年
正如Synopsys报告的那样,"确保软件供应链安全的第一步是管理应用程序中的开源和第三方代码。 如果您无法有效管理和确保开源和第三方软件的安全性,那么为确保供应链安全所做的任何其他努力都将失效 - 或者坦率地说,甚至无关紧要。" Synopsys没有说错。 正如乔·拜登总统关于改进国家网络安全的行政令所宣布的,SBOM是“包含用于构建软件的各种组件的详细信息和供应链关系的正式记录”。 开发者安全公司Snyk在其2023年软件安全调查中发现,尽管针对开源代码的网络攻击数量创历史新高,但40%的受访者仍然不使用关键的供应链安全技术。 当然,公司知道存在问题,但Synk发现他们正在特殊的基础上解决供应链安全问题。只有一半的公司有正式的供应链安全策略。 我们在2024年的安全任务很清晰。
39010编辑于 2024-03-28 - 来自专栏FreeBuf
企业供应链安全的思考与实践(一)
2021年3月,PHP官方Git仓库被发现有人以维护者的身份提交了两次含恶意代码的变更,好在官方及时发现并恢复了代码,避免了进一步的影响。 所有使用该组件的系统均存在漏洞被远程利用的风险,之后该组件虽经过多次升级,但依然没有彻底修复所有漏洞,而该组件只是由Apache基金会一名成员在业余时间开发和维护的,作者Ralph Goers几年前曾发帖请求赞助全职维护Log4j,但只有3个人捐赠 一、供应链安全概述 供应链安全事件在最近几年频发,供应链安全也越来越被政府和企业重视,原因在于在供应链管理中可能导致安全风险的因素非常复杂,如果没有良好的供应链安全管理和风险控制,由于供应链导致的安全风险会急剧增加 与企业信息安全管理相同的是,供应链安全不是纯粹的IT问题,而是人、流程和知识的问题,在供应链庞杂的环境中,企业完全不被攻击或攻陷是不可避免的,因此需要从攻击者的角度进行安全防御建设。 供应链安全涉及到的方面包括企业供应链管理中的: 采购 供应商管理 供应链连续性 供应链质量 运输安全 从与供应商的商务关系到供应商的技术管理和实践,相关的风险又依次包括: 第三方供应商:供应商企业健康状况和企业实力
95930编辑于 2022-11-14 - 来自专栏绿盟科技研究通讯
洞见RSAC 2024|供应链与AI安全挑战
2024年RSA大会上,来自泰雷兹(THALES)的软件安全技术总监VISWANATH S CHIRRAVURI分享了关于供应链安全和AI安全的议题。 一、供应链攻击与分类法 供应链攻击(Supply chain attacks)多年来一直是一个安全问题,自2020年以来全球频繁受到供应链攻击事件的影响。 (3)源代码控制系统 滥用Git服务器配置错误、git存储库中不受信任的代码、向主分支中注入恶意代码。 (4)包管理器 前端组件(客户端)、后端组件(服务器端)、依赖性混淆。 SCVS L3 由于数据的敏感性或软件的使用,需要最高标准的要求。 然而,现有的OSS框架及标准更多关注漏洞(可以被利用的弱点)而不是恶意点(故意设计的伤害)。 结合AI自身安全和供应链安全而言,也有针对与AI\ML的供应链安全风险。
65610编辑于 2024-05-29 - 来自专栏游戏安全攻防
从开发者视角浅谈供应链安全
供应链攻击特点: 1、处于供应链上游,一旦遭受攻击就会影响下游供应链节点 2、供应链中引入的环节越来越多,攻击面越广,风险越大 3、隐蔽能力非常强,具有后门模块免杀、官方数字签名 4、涉及环节很多,每个环节接入审查 供应链安全方案 从大层面上防范供应链攻击的方案 1、遵循权限最小化原则、收紧企业内网、控制对外映射服务 2、引入威胁情报、持续监控供应商安全风险 3、根据互联网侧、边界侧、内网侧、办公侧等场景制定防护方案 主要内容包括: (1)安全需求分析,包括安全合规需求以及安全功能需求; (2)安全设计原则; (3)确定安全标准,规范安全要求,满足业务机密性、完整性和可用性需求; (4)攻击面分析,分析系统各个模块可能会受到的攻击 ,选用第三方组件时评估其风险级别,对第三方组件进行安全检查,提出解决风险方案; (3)变更管理,对于变更操作进行统一管理; (4)代码安全审查,制定安全审查方法和审核机制,确定代码安全审查工具; (5) ,以及校验数字签名的完整性等; (3)事件响应计划,制定事件响应计划,包括安全事件应急响应流程,安全负责人与联系方式等。
85810编辑于 2023-09-14 - 来自专栏安全乐观主义
供应链安全系列-攻击编译阶段(一)
我们不断用DAST发现安全漏洞,以更高的覆盖率、更低的误报率、漏报率而自豪,运营人员反馈得到工单去及时迭代修复。 而现在又兴起了供应链安全的热点。 ? Google的实践是联合业界使用Grafeas API管理联通软件供应链安全项目。 ? 我在早期接触安全时曾经获取曾经对某cms的官方release包修改了jar包里的DispatcherServlet的class文件加入特殊指令,现在想来也是为了供应链“不安全”贡献了力量,当时思路还是太局限了 但是关于供应链安全的讨论,除了各种外部报道的手段替换组件被执行恶意操作之外,笔者还想到我们是否遗漏了一类关键点--对持续集成人员的要求、对代码检视人员的要求?对编译阶段的检查? -processor <class1>[,<class2>,<class3>...]
1.5K20发布于 2019-11-20 - 来自专栏持续集成
SLSA 框架与软件供应链安全防护
随着近些年针对软件供应链发起的攻击次数越来越多,Google 发布了一系列指南来确保软件包的完整性,目的是为了防止未经授权的代码修改影响软件供应链。 Google 的 SLSA 框架(Supply-chain Levels for Software Artifacts 软件制品的供应链级别)是通过识别 CI/CD 流水线中的问题并减小影响,为实现更安全的软件开发和部署流程提供建议 SLSA等级 等级 描述 示例 1 构建过程的文档 无署名的出处 2 构建服务的防篡改 托管源/构建,署名出处 3 对特定威胁的额外抵抗力 对主机的安全控制,不可伪造的来源 4 最高级别的信心和信任 两方审查 SLSA 2 还提供了一个轻松升级到 SLSA 3 的途径。 3 源和构建平台符合特定标准,以分别保证源的可审计性和出处的完整性。 实际上从事安全工作的团队需要确定并关注供应链中的重要组成部分,可以手动执行,但工作量可能很大。
1.1K20编辑于 2023-09-01
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号