- 综合排序
- 最热优先
- 最新优先
- 来自专栏2024年网络安全宣传周
网络安全宣传周 - 供应链安全
1.1 供应链安全,网络安全关键防线在当今数字化时代,网络安全已成为国家、社会、企业乃至个人绕不开的重要命题。而供应链安全作为网络安全的关键防线,其重要性不言而喻。 而供应链安全问题可能会导致关键信息基础设施的停服断供、安全漏洞等,严重危害国家安全。1.2 机遇与挑战并存,构建安全堡垒在复杂的网络安全环境下,供应链安全既面临着挑战,也蕴含着机遇。 2021 年爆发的 Log4j2 漏洞要十余年才能修完,期间将持续引发安全风险。开源社区的规模及活跃度参差不齐,导致开源软件漏洞修复与维护成本高,责任落实难。 例如,出台供应链网络安全管理实施细则,形成涵盖全生命周期的供应链网络安全管理规范标准和实践指南体系,强化供应链安全事件应急响应及处置要求。加强安全监控是保障供应链安全的重要手段。 企业应细化供应链网络安全风险评估内容,构建全流程供应链安全评估机制,实现可快速识别并修复供应链开发、交付和使用环节实体要素存在的安全风险,最大限度消除供应链安全隐患,维护网络空间安全。
93910编辑于 2024-11-02 - 来自专栏tea9的博客
软件供应链安全简析
供应链安全背景 近年来,针对软件供应链的安全攻击事件呈快速增长态势,造成的危害也越来越大。 供应链安全将是未来的重要挑战,从网络安全角度去思考的话,可以明显看到当前的商业组织似乎更多的关注自身网络安全建设,但日防夜防、“家贼”难防,任何一个薄弱的供应链都可能成为这个难防的“家贼”。 2021年5月12日,美国发布了《关于改善国家网络安全》的第14028号行政命令(EO),明确要求美国联邦政府加强软件供应链安全管控,迅速提高软件供应链的安全性和完整性。 今年5月,美国国家标准与技术研究院 (NIST)更新了解决软件供应链风险的网络安全指南,该指南帮助组织将网络安全供应链风险考虑因素和要求纳入其采购流程,并强调监控风险的重要性。 根据业界众多网络安全公司的观测,目前大多数Log4j漏洞利用主要是挖矿软件,但攻击者也在积极尝试在易受攻击的系统上安装更危险的恶意软件。
1.1K20编辑于 2023-02-28 - 来自专栏旅途散记
谷歌的开源供应链安全
摘要 谷歌在开源软件供应链安全方面的工作 介绍供应链安全概念和不同类型的攻击案例 加强理解软件供应链,探索构建、分析方法 使用加密签名、构建可重现的构建流程保障供应链安全 提倡内存安全编程语言如 xpdf 中的问题是一项错误,log4j中的问题是一个功能,他们都不是恶意的,但是都是供应链的重要组成部分.因此让我们扩大供应链漏洞的定义,将开源供应链漏洞定义为由开源组件引起的可信软件中的可利用弱点。 请注意,可信软件不必是开源的 --- Minecraft不是,但log4j是,所以我们仍然可以说Minecraft存在开源供应链漏洞。 因此,尽管 Java 有语言级安全性,像 2017 年的 Apache Struts 或 2022 年的 Log4J 漏洞仍可导致远程代码执行。 整个科技行业花了数周的时间来寻找和更新他们的所有系统,如果使用的是易受攻击的Log4j版本,那么对Log4j的下一个日志的响应根本就没有什么大不了的,因为我们还没有达到这个行业的标准。
61610编辑于 2023-12-19 - 来自专栏FreeBuf
聊聊供应链安全:建议与方法
建议方法 供应链就是以合适的价格、地点和时间为顾客提供他们需要的资源。供应链安全是一个多学科的问题,需要业务、客户支持和IT之间的密切协作和执行,这有其自身的挑战。 来自内部人员或攻击者的数据泄露、勒索软件攻击和恶意活动可能发生在供应链的任意环节。即使是本地化到单个供应商或第三方供应商的安全事件,也可能严重扰乱计划、制定和交付过程。 供应链安全管理主要涉及五个方面 数据保护。数据是商业交易的核心,必须在静态和运行中保护并控制数据,以防止违规和篡改。安全的数据交换还包括信任其他来源,无论是第三方还是电子商务网站。 供应链安全建议 供应链安全需要多方面考虑。没有万能方案,但是组织可以用分层防御的组合来保护供应链。由于专注供应链安全的团队使威胁参与者更难实施攻击,因此获得了更多的时间来检测恶意活动并采取行动。 这里是一些组织追求管理和减轻供应链安全风险的重要战略。 安全战略评估。要评估风险与合规性,需要针对业务挑战、需求和目标评估现有的安全治理框架——包括数据隐私、第三方风险和IT法规合规需求及差距。
1.5K10发布于 2021-02-08 - 来自专栏FreeBuf
聊聊供应链安全:政策与问题
今天,来聊聊供应链安全,后面将会从政策、主要问题、方法、美国ICT SCRM实践等方面谈谈供应链。 8.2.6.2 供应链管理(云计算) b) 应将供应链安全事件信息或安全威胁信息及时传达到云服务客户; c) 应将供应商的重要变更及时传达到云服务客户,并评估变更带来的安全风险,采取措施对风险进行控制。 (配置、漏洞、补丁、病毒库)、供应链安全管理策略、安全运维策略等。 7.7.2 供应链安全保护 运营者应: a)制定供应链安全管理策略,包括:风险管理策略、供应商选择和管理策略、产品开发采购策略、安全维护策略等。 b)建立供应链安全管理制度,设置相应的供应链安全管理部门,提供用于供应链安全管理的资金、人员和权限等可用资源。
83110编辑于 2023-04-26 - 来自专栏DevOps持续集成
安全软件供应链6个交付管道安全最佳实践
这些软件供应链组件中的任何一个弱点都可能是软件供应链攻击中使用的入口点或支点。当你考虑到我们的软件供应链已经变得很复杂时,2021 年软件供应链攻击增加了 51%也就不足为奇了。 交付管道和软件供应链安全 为了支持快速、迭代和高质量的部署,托管 VCS 和 CI/CD 管道已成为云原生组织的命脉。 在这篇文章中,我们将研究 VCS 和 CI/CD 管道中一些最常见的安全漏洞,这些漏洞可能会使供应链受到攻击。然后,我们将介绍安全专业人员可以实施以减轻供应链攻击的几个最佳实践。 但是,它们的默认配置并未考虑到安全性。再加上它们处于软件供应链的中心,这使得它们很容易成为黑客的目标。 为了保护他们的软件供应链,组织应该采取预防性的、纵深防御的方法来遵循 VCS 和 CI/CD 安全最佳实践,并利用策略即代码来随着时间的推移执行最佳实践。
94730编辑于 2022-12-29 - 来自专栏腾讯研究院的专栏
半导体:趋势、周期和供应链安全
半导体是产品竞争力的重要组成部分,也是影响产业链和国家安全的关键环节。 近20年来,全球半导体行业每隔4-5年经历一轮小周期。 图 全球半导体销售额及同比增长率 当前半导体正处于萧条周期。如下图所示。 迄今整个周期已持续4年多,其中上行9个季度,下行8个季度。有专家预测,当前或已达下行周期底部附近,有望回升。 芯片的生产发生在一个全球性的、复杂的供应链中,并且在一些重要环节呈过于集中趋势,只有少数几家公司(甚至只有一家)能参与其中。 近年受新冠疫情和地缘政治等多重因素影响,全球缺“芯”日益严重,进一步暴露出半导体供应链的脆弱性。半导体是高水平科技自立自强的重要领域,是必须打赢的一场攻坚战。 本文作者: 闫德利 腾讯研究院资深专家
43510编辑于 2023-11-16 - 来自专栏云云众生s
清洁的容器镜像:供应链安全革命
供应链安全 初创公司 Chainguard 在过去四年多的时间里,一直试图改变开发者和企业看待和使用 容器镜像 以及其中包含的 开源组件 的方式。 可视化 CVE 该公司本周 宣布正式推出 CVE Visualizations,这是 Chainguard Console 中的最新功能,是一个获取从安全到产品更新等所有信息的一站式平台。 借助这项新功能,组织可以更好地量化使用 Chainguard 的无 CVE 镜像所带来的工程、安全和财务效益。 这一切的基础是 Wolfi,Chainguard 定制的 Linux 发行版——或者他们称之为(非)发行版——它在构建时具有默认安全性,适用于 supply chain。 Dunn 说这没有道理,他将其与在没有农业部确保食品安全的情况下在超市购物的想法进行了比较。他说,如果这个世界的食品购买者有开发者的心态,他们会将购买不安全食品的风险视为做生意的成本。
27800编辑于 2025-02-09 - 来自专栏安全攻防
企业供应链安全体系建设思考
企业供应链安全信息安全里面的供应链安全,是狭义范围的供应链安全,其最终安全问题是体现在应用系统上的问题。 供应链的软件组件会持续支撑整个应用系统的生命周期,如果组件出现问题,会直接影响到应用系统的可用性安全性。应用系统的供应链安全,实际上是由三个部分组成的。 分别是应用安全里面软件开发中的依赖包(log4j),基础安全里面的应用运行组件(phpstudy),办公安全里的开发IDE(xcodeghost)。 供应链安全的建设落地1、状态调研及评估:调研安全建设状态,评估建设完成度。2、决策工作内容:结合调研结果,结合公司整体的建设方案,来决定工作内容,内容顺序,落地方案。 供应链安全建设中,优先级最高的是依赖包供应链的安全建设,其次是基础IT组件,其次是办公终端IDE安全。
34910编辑于 2023-08-25 - 来自专栏小程序类
软件供应链安全事件频发,安全问题怎样保障
享受便利的同时问题也随之而来,以上的软件供应链安全事件也层出不穷。为了保护自己免受此类攻击,企业必须超越传统的、有风险的 "信任但核实 "的网络安全方法。 反正安全风险是传递的,只要有一个零部件有安全漏洞、甚至是在漫长复杂的互联网分发链路上被篡改过注入了恶意代码,你的系统就继承了所有这些风险。4、知识产权风险。 在信息化程度比较高的金融业,软件作为金融信息基础设施的重要组成部分,安全问题将直接影响金融信息系统的安全稳定运行。对于企业来说,如何把软件供应链里的“恶意”关在笼子里?或许安全沙箱一种可操作的手段。 在云计算的环境下,云原生型安全沙箱技术也在演进,有望在企业环境中,对软件供应链安全问题提供一部分“治标”的解决方案(“治本”还得更加长期、综合、涉及面更广的综合策略)。 但是对于通过供应链污染而“播种”内鬼的安全攻击,似乎这是最有效的手段。
77930编辑于 2022-10-26 - 来自专栏资讯分享
半导体:趋势、周期和供应链安全
半导体是产品竞争力的重要组成部分,也是影响产业链和国家安全的关键环节。 近20年来,全球半导体行业每隔4-5年经历一轮小周期。当前半导体正处于萧条周期。如下图所示。 迄今整个周期已持续4年多,其中上行9个季度,下行8个季度。有专家预测,当前或已达下行周期底部附近,有望回升。 芯片的生产发生在一个全球性的、复杂的供应链中,并且在一些重要环节呈过于集中趋势,只有少数几家公司(甚至只有一家)能参与其中。 近年受新冠疫情和地缘政治等多重因素影响,全球缺“芯”日益严重,进一步暴露出半导体供应链的脆弱性。半导体是高水平科技自立自强的重要领域,是必须打赢的一场攻坚战。
42220编辑于 2023-07-26 - 来自专栏网络安全
全球供应链安全警钟:七大知名供应链攻击事件回顾
本文星尘安全就带着大家一起,来回顾一下近年来全球知名的七大供应链安全事件。 虽然Piriform迅速修复了此漏洞,但该事件突显了供应链攻击对企业环境的潜在巨大威胁,并导致了企业对第三方软件的信任度降低,供应链安全成为行业的焦点议题。 4. ASUS的声誉因此次事件受到严重损害,迫使公司对其软件供应链进行全面审查,并采取额外的安全措施。 总结 这些全球知名的供应链攻击事件,展示了供应链安全的脆弱性与复杂性。 为了应对日益增长的供应链攻击威胁,下至企业,上至国家,都需要加强供应链的审查、强化安全协议,并实施更多的防御性技术来保护其核心资产和客户数据。
5.1K10编辑于 2024-09-25 - 来自专栏云云众生s
通过 Backstage 确保你的软件供应链安全
通过 Backstage 确保你的软件供应链安全 一个内部开发者门户可以帮助您整合和演化您的安全策略。 正如 Cloud Native Computing Foundation(CNCF) 安全工作组所述:“供应链需要多个关联的流程,供应链安全依赖于对每个流程的验证和验证。” 统一的安全视图 根据 CNCF 的说法,确保供应链安全的一个关键步骤是确保“内部的、第一方的源代码仓库……通过提交签名、漏洞扫描、贡献规则和策略执行得到保护和安全”。 了解您的整体安全演变 当您通过目录进行所有权排序,并通过 Scaffolder 主动推动最佳实践时,下一步是了解您的整体软件供应链安全工具。 您还可以跟踪您的供应链安全的演变以及实践在整个组织中的采用情况。
28110编辑于 2024-03-27 - 来自专栏云云众生s
开源安全供应链走向成熟的2023年
正如Synopsys报告的那样,"确保软件供应链安全的第一步是管理应用程序中的开源和第三方代码。 如果您无法有效管理和确保开源和第三方软件的安全性,那么为确保供应链安全所做的任何其他努力都将失效 - 或者坦率地说,甚至无关紧要。" Synopsys没有说错。 正如乔·拜登总统关于改进国家网络安全的行政令所宣布的,SBOM是“包含用于构建软件的各种组件的详细信息和供应链关系的正式记录”。 开发者安全公司Snyk在其2023年软件安全调查中发现,尽管针对开源代码的网络攻击数量创历史新高,但40%的受访者仍然不使用关键的供应链安全技术。 当然,公司知道存在问题,但Synk发现他们正在特殊的基础上解决供应链安全问题。只有一半的公司有正式的供应链安全策略。 我们在2024年的安全任务很清晰。
39010编辑于 2024-03-28 - 来自专栏FreeBuf
企业供应链安全的思考与实践(一)
2021年12月,Apache Log4j组件被爆出存在远程代码执行漏洞,所有使用该组件的系统均存在漏洞被远程利用的风险,之后该组件虽经过多次升级,但依然没有彻底修复所有漏洞,而该组件只是由Apache 基金会一名成员在业余时间开发和维护的,作者Ralph Goers几年前曾发帖请求赞助全职维护Log4j,但只有3个人捐赠. 一、供应链安全概述 供应链安全事件在最近几年频发,供应链安全也越来越被政府和企业重视,原因在于在供应链管理中可能导致安全风险的因素非常复杂,如果没有良好的供应链安全管理和风险控制,由于供应链导致的安全风险会急剧增加 供应链安全涉及到的方面包括企业供应链管理中的: 采购 供应商管理 供应链连续性 供应链质量 运输安全 从与供应商的商务关系到供应商的技术管理和实践,相关的风险又依次包括: 第三方供应商:供应商企业健康状况和企业实力 这些技术角度的第三方供应链可能没有供应企业,可能早已无人维护,也可能只是个人业余时间维护(如Log4j)。
95930编辑于 2022-11-14 - 来自专栏游戏安全攻防
从开发者视角浅谈供应链安全
供应链攻击特点: 1、处于供应链上游,一旦遭受攻击就会影响下游供应链节点 2、供应链中引入的环节越来越多,攻击面越广,风险越大 3、隐蔽能力非常强,具有后门模块免杀、官方数字签名 4、涉及环节很多,每个环节接入审查 4.运营阶段:软件产品在发布之后到达用户手中时,就进入了软件产品的运营阶段,而用户使用过程中,除了产品本身的安全缺陷所带来的安全威胁之外,还可能遭受用户使用环境带来的安全威胁,针对软件运营阶段最常见的攻击方式主要是软件的升级劫持 主要内容包括: (1)安全需求分析,包括安全合规需求以及安全功能需求; (2)安全设计原则; (3)确定安全标准,规范安全要求,满足业务机密性、完整性和可用性需求; (4)攻击面分析,分析系统各个模块可能会受到的攻击 ,选用第三方组件时评估其风险级别,对第三方组件进行安全检查,提出解决风险方案; (3)变更管理,对于变更操作进行统一管理; (4)代码安全审查,制定安全审查方法和审核机制,确定代码安全审查工具; (5) ,根据漏洞信息、业务场景等智能化推荐安全解决方案,保证全生命周期安全; (3)风险评估,制定和实施安全风险评估计划,定期进行安全测试与评估; (4)应急响应,制定明确的应急事件响应流程,具备专门的应急响应安全团队
85810编辑于 2023-09-14 - 来自专栏绿盟科技研究通讯
洞见RSAC 2024|供应链与AI安全挑战
2024年RSA大会上,来自泰雷兹(THALES)的软件安全技术总监VISWANATH S CHIRRAVURI分享了关于供应链安全和AI安全的议题。 2021年4月,Codecov报告说,攻击者利用了一个在Docker图像创建方式的bug,从Docker图像中获得了一些有效的凭证。 (4)包管理器 前端组件(客户端)、后端组件(服务器端)、依赖性混淆。 (5)容器供应链 恶意的图像和脆弱的图像、不安全的容器注册表。 (6)云供应链 错误配置(公开的秘密、元数据服务等)。 例如对一个npm恶意包,四个供应商使用了4个不同的符号进行标识。同时,大部分开源的SCA工具都不会报告恶意组件,这是一个需要关注的问题。 结合AI自身安全和供应链安全而言,也有针对与AI\ML的供应链安全风险。
65610编辑于 2024-05-29 - 来自专栏安全乐观主义
供应链安全系列-攻击编译阶段(一)
我们不断用DAST发现安全漏洞,以更高的覆盖率、更低的误报率、漏报率而自豪,运营人员反馈得到工单去及时迭代修复。 而现在又兴起了供应链安全的热点。 ? Google的实践是联合业界使用Grafeas API管理联通软件供应链安全项目。 ? 我在早期接触安全时曾经获取曾经对某cms的官方release包修改了jar包里的DispatcherServlet的class文件加入特殊指令,现在想来也是为了供应链“不安全”贡献了力量,当时思路还是太局限了 但是关于供应链安全的讨论,除了各种外部报道的手段替换组件被执行恶意操作之外,笔者还想到我们是否遗漏了一类关键点--对持续集成人员的要求、对代码检视人员的要求?对编译阶段的检查? /guides/jpda/conninv.html#Transports 使用客户端模式: “-Xdebug -Xrunjdwp:transport=dt_socket,address=ipv4\
1.5K20发布于 2019-11-20 - 来自专栏持续集成
SLSA 框架与软件供应链安全防护
Google 的 SLSA 框架(Supply-chain Levels for Software Artifacts 软件制品的供应链级别)是通过识别 CI/CD 流水线中的问题并减小影响,为实现更安全的软件开发和部署流程提供建议 SLSA等级 等级 描述 示例 1 构建过程的文档 无署名的出处 2 构建服务的防篡改 托管源/构建,署名出处 3 对特定威胁的额外抵抗力 对主机的安全控制,不可伪造的来源 4 最高级别的信心和信任 两方审查 总的来说,SLSA 4 让消费者对软件未被篡改具有高度的信心。 限制 SLSA 可以帮助减少软件工件中的供应链威胁,但也有局限性。 许多工件在供应链中存在大量依赖关系,完整的依赖关系图可能非常大。 实际上从事安全工作的团队需要确定并关注供应链中的重要组成部分,可以手动执行,但工作量可能很大。 工件的 SLSA 级别不可传递并且依赖项有自己的 SLSA 评级,这意味着可以从 SLSA 0 依赖项构建 SLSA 4 工件。因此,虽然主要的工件具有很强的安全性,但其他地方可能仍然存在风险。
1.1K20编辑于 2023-09-01 - 来自专栏我的安全视界观
安全事件运营SOP:软件供应链投毒事件
01 — 基础概念 说起软件供应链安全,不禁让人想到:漏洞、投毒、合规、断供…一系列安全和合规的风险。此外,同样高频的词还有:供应链攻击、软件供应链投毒,它们之间有何异同?又有何关联呢? 从这个角度上来看,供应链攻击包含了部分软件供应链安全(由于投毒和漏洞导致的攻击),软件供应链安全包含了软件供应链投毒。 04 — 软件供应链投毒防御策略 4.1 外购软件安全管控 在本系列文章《安全事件运营SOP:网络攻击》中,已经提到该部分。 4.2 开源组件安全管控 近来软件供应链安全的热度持续水高船涨,但真正在软件投毒方面,做得好的企业非常少。 (npm投毒攻击模拟报告截图 - 团队成员番茄) 4.5 更多软件供应链投毒 尤其是业务安全建设能力方面,可以看以前的文章《浅谈企业级供应链投毒应急安全能力建设》。
2.8K30编辑于 2023-09-02
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号