- 综合排序
- 最热优先
- 最新优先
- 来自专栏深度学习与python
从 10 万 npm 用户信息被窃看开源软件供应链安全
作者 | 赵钰莹 如今,所有热爱开源的开发者可能都心怀担忧:开源软件的供应链安全问题如何解决? 关于开源代码维护者因反俄给 node-ipc 库添加恶意代码、GitHub 封停部分俄罗斯开发者账号的讨论还未结束,10 万 npm 用户账号信息被窃再登 HN 热搜,开源软件供应链的安全性成为业界关注的焦点话题 热点问题及概念探讨 InfoQ:请解读一下 10 万 npm 被泄露的事件? 10 万的 npm 用户数据。 Gavin:站在软件供应链安全的角度,开源只是其中一部分,但目前绝大多数安全事件都是因为开源软件导致的,所以大家潜移默化会把软件供应链安全与开源软件漏洞紧密结合起来。
65010编辑于 2023-03-29 - 来自专栏旅途散记
谷歌的开源供应链安全
专访SolarWinds:遭受黑客攻击 给一家软件公司带来了什么[10] 这些例子都不涉及开源软件。让我们将开源供应链攻击, 定义为对在受信任程序中使用的受信任开源组件的恶意更改。 copay是开源的,但事件流是开源的,所以这是一个开源供应链攻击。代码在两个半月的时间里都没有被发现,你知道攻击者是如何开展行动的? 现在我们可以将开源供应链安全定义为防御开源供应链攻击和开源供应链漏洞的工程。 过去几十年,特别是在最近的10到20年内,软件行业经历了巨大转变。软件复用,从一个理想化的目标变成了现代编程环境的一个实际现实。 在开源方面,谷歌启动并资助了OSS模糊测试项目,该项目对重要的开源项目进行连续模糊测试,并报告自项目启动以来发现的漏洞。OSS模糊测试已发现超过10,000个漏洞和超过36,000个错误。
61610编辑于 2023-12-19 供应链投毒预警 | 开源供应链投毒202401最新月报来啦!
概述悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库,结合程序动静态分析方法对潜在风险的开源组件包进行分析和监测,捕获大量开源组件恶意包投毒攻击事件。 2024 年 1 月份,悬镜供应链安全情报中心在 Npm 官方仓库(https://www.npmjs.com/)和 Pypi 官方仓库(https://pypi.org/)上共捕获 675 个不同版本的恶意投毒包 针对所有捕获的开源组件投毒包,我们结合源代码分析、动态行为监控等方法总结统计了投毒包的攻击方式和恶意行为。 详细分析请参考:供应链投毒预警 | 恶意 Py 包仿冒 tensorflow AI 框架实施后门投毒攻击DNS 查询外传敏感信息该攻击方式是一种较为隐蔽的信息窃取手法,通常在包管理器安装或者加载投毒包时自动执行用于收集受害者系统敏感数据的 悬镜供应链安全情报中心将持续监测全网主流开源软件仓库,对潜在风险的开源组件包进行动态跟踪和溯源,实现快速捕获开源组件投毒攻击事件并第一时间提供精准安全预警。
76210编辑于 2024-03-02- 来自专栏Rust语言学习交流
【Rust日报】2023-10-10 使用 Cackle 抵御 Rust 供应链攻击
使用 Cackle 抵御 Rust 供应链攻击 Cackle 是一个代码 ACL 检查器,用于增加供应链攻击的难度。Cackle 通过 cackle.toml 进行配置。
33910编辑于 2023-10-18 - 来自专栏云云众生s
开源安全供应链走向成熟的2023年
事实上,它与现代开发那么交织在一起,以至于代码所有者通常不知道自己软件中的开源组件。" 唉。 正如Synopsys报告的那样,"确保软件供应链安全的第一步是管理应用程序中的开源和第三方代码。 如果您无法有效管理和确保开源和第三方软件的安全性,那么为确保供应链安全所做的任何其他努力都将失效 - 或者坦率地说,甚至无关紧要。" Synopsys没有说错。 虽然2023年的大部分主要安全改进都是针对软件供应链的,但还有其他重大进展。其中之一是漏洞利用可能性交换(VEX)及其开源实现OpenVEX的兴起。 开发者安全公司Snyk在其2023年软件安全调查中发现,尽管针对开源代码的网络攻击数量创历史新高,但40%的受访者仍然不使用关键的供应链安全技术。 当然,公司知道存在问题,但Synk发现他们正在特殊的基础上解决供应链安全问题。只有一半的公司有正式的供应链安全策略。 我们在2024年的安全任务很清晰。
38810编辑于 2024-03-28 - 来自专栏五分钟学算法
10 个开源项目
作者 | SevDot 来源 | http://1t.click/VE8 Web 开发中几乎的平台都需要一个后台管理,但是从零开发一套后台控制面板并不容易,幸运的是有很多开源免费的后台控制面板可以给开发者使用 ,那么有哪些优秀的开源免费的控制面板呢? 我在 Github 上收集了一些优秀的后台控制面板,并总结得出 Top 10。 1. ---- 10. material-dashboard Github Star 数 7111,Github 地址: https://github.com/creativetimofficial/material-dashboard
83130发布于 2019-09-12 - 来自专栏SDNLAB
开源软件的供应链是否存在安全风险?
去年发生了一些令人震惊的攻击,这使得开源软件供应链的安全性备受质疑。 那么,这是否意味着开源软件可以安全地再次使用? 答案是不完全是,企业为了更好地保护自己,需要了解开源软件供应链的工作原理,我们生活中几乎所有的设备都包含一个嵌入式开源软件和运行时库的复杂系统。 不幸的是,要理解别人上传的软件非常困难,人们可能会恶意地改变供应链中的数据包或库。 以CCleaner为例,超过10万台感染机器只是附带损害,袭击者初始的目标只是大约18家公司,他们需要的只是这些公司使用的一个妥协包。 无论你在开源供应链中的角色如何,如果我们要防范未来的攻击,必须对安全性给予更多的关注。安全专业人员通过默默无闻的方式熟悉安全性,他们错误地认为,如果软件很难理解,就很难发起攻击。
1.1K50发布于 2018-06-11 - 来自专栏深度学习与python
如何保护你的开源项目免遭供应链攻击
如果你是一个开源维护者,当你了解了项目的攻击面以及项目整个供应链的威胁载体,你可能会感到不知所措,甚至觉得无法克服。好消息是,2021 年也是供应链安全解决方案年。 虽然还有很多工作要做,现有的解决方案也有很大的改进空间,但已经可以对项目进行预防性控制,以强化供应链,免受安全威胁。 本文最初发表于谷歌开源博客,由 InfoQ 中文站翻译并分享。 本文介绍了相关问题、答案和预防选项,如果你想保护自己的开源项目免受供应链攻击,那么这是一份不错的初级指南。 开源项目安全性的相关资源: SLSA:一个供应链安全等级框架 Scorecards:安全最佳实践应用评价工具 Allstar:一个确保采用安全最佳实践的 GitHub 应用 Open Source Insights :开源项目依赖项的可搜索可视化 OSV:面向开源的漏洞数据库和自动化基础设施 查看原文: https://opensource.googleblog.com/2021/10/protect-your-open-source-project-from-supply-chain-attacks.html
88330编辑于 2022-04-19 - 来自专栏CDA数据分析师
10月精选Python开源项目Top10!
作者 | MyBridge 译者 | Linstancy 整理 | Jane 本文转自 AI科技大本营 【导读】过去一个月里,我们对近 250 个 Python 开源项目进行了排名,并挑选出热度前 10 的项目。 ▌开源项目一:Py-spy Py-spy 是一种由 Python 程序驱动的采样分析器,它允许可视化 Python 程序内容,而无需重新启动程序或以任何方式修改代码。 utm_source=mybridge&utm_medium=blog&utm_campaign=read_more ▌开源项目二:Camelot Camelot 是一款用于从 PDF 文件中提取表格的 python 的金融投资组合优化的开源项目,其中包括经典有效的前沿和实验方法。
85710发布于 2018-12-12 - 来自专栏机器学习算法与Python学习
10月机器学习开源项目Top10
作者 | Mybridge 译者 | 林春眄 整理 | Jane 出品 | AI科技大本营 过去一个月里,我们对近 250 个机器学习开源项目进行了排名,并挑选出热度前 10 的项目。 &utm_campaign=read_more 官网: https://docs.fast.ai/ ▌Top 2:Deepvariant Deepvariant 是由 Google 研究团队贡献的开源项目 utm_source=mybridge&utm_medium=blog&utm_campaign=read_more ▌Top 9:Blueoil Blueoil 是一个将深度学习应用于小型设备的开源项目 utm_source=mybridge&utm_medium=blog&utm_campaign=read_more ▌Top 10:Tencent-ml-images Tencent-ml-images 是包含当前最大的多标签图像数据库(ml-images) 的开源项目,共由 11166 个图像类别,17609752 张训练图像和 88739 哥验证数据的URL 地址组成。
50730发布于 2018-12-05 - 来自专栏AI科技大本营的专栏
10月机器学习开源项目Top10
作者 | Mybridge 译者 | 林春眄 整理 | Jane 出品 | AI科技大本营 【导读】过去一个月里,我们对近 250 个机器学习开源项目进行了排名,并挑选出热度前 10 的项目。 &utm_campaign=read_more 官网: https://docs.fast.ai/ ▌Top 2:Deepvariant Deepvariant 是由 Google 研究团队贡献的开源项目 utm_source=mybridge&utm_medium=blog&utm_campaign=read_more ▌Top 9:Blueoil Blueoil 是一个将深度学习应用于小型设备的开源项目 utm_source=mybridge&utm_medium=blog&utm_campaign=read_more ▌Top 10:Tencent-ml-images Tencent-ml-images 是包含当前最大的多标签图像数据库(ml-images) 的开源项目,共由 11166 个图像类别,17609752 张训练图像和 88739 哥验证数据的URL 地址组成。
58830发布于 2018-12-05 - 来自专栏FreeBuf
为强化软件供应链安全,谷歌启动GUAC开源项目
10月20日,Google宣布正在为名为Graph for Understanding Artifact Composition(GUAC)的开源项目寻找感兴趣的贡献者,以此进一步强化软件供应链安全。 GUAC旨在让每个组织都可以只有访问和调用这些信息,正在发挥开源的共享和民主的特性。 谷歌多手段强化供应链安全 在启动GUAC开源项目之前,谷歌在供应链安全方面已经有了多个动作。 支撑此架构的数据来自Sigstore、GitHub、开源漏洞( OSV )、Grype和Trivy等,以在漏洞、项目、资源、开发人员、工件和存储库之间建立有意义的关系。 参考来源: https://thehackernews.com/2022/10/google-launches-guac-open-source.html
51130编辑于 2022-11-14 - 来自专栏OpenSCA
供应链投毒预警 | 开源供应链投毒202404月报发布(含投毒案例分析)
概述悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库,结合程序动静态分析方式对潜在风险的开源组件包进行动态跟踪和捕获,发现大量的开源组件恶意包投毒攻击事件。 在2024年4月份,悬镜供应链安全情报中心在NPM官方仓库(https://www.npmjs.com/)和Pypi官方仓库(https://pypi.org/)上共捕获772个不同版本的恶意组件包,其中 投毒案例分析本节将从4月份捕获的开源组件恶意包中选取部分具有代表性的投毒样本进行分析、还原投毒攻击细节。 这些恶意包具有相同的攻击代码以及相同的高版本号(99.0),可推断攻击者尝试进行包依赖混淆(Dependency Confusion)供应链投毒。 , "release_date": "2024-04-10" }, { "product": "rhermann-sds", "version": "[99.0]", "language
1.1K10编辑于 2024-05-21 - 来自专栏FreeBuf
重大供应链威胁!这个 Java 开源框架存在严重漏洞
美国网络安全和基础设施安全局(CISA)的安全研究人员报告称,一个受广泛使用的开源Java框架中存在严重漏洞并被攻击者利用,以向未打补丁的服务器部署后门。 专家表示,这种情况可能会对未打补丁的软件构成重大供应链威胁。 事实上,该漏洞在2022年10月首次出现便引起广泛关注,当时ConnectWise对其产品中漏洞的存在发出了警报,特别是ConnectWise Recover和R1Soft服务器备份管理器技术。 供应链面临风险 当Huntress对该漏洞进行分析时,没有证据表明存在主动利用的情况。 这对攻击者来说无疑是利好的,同时这可能给供应链带来重大风险。
59410编辑于 2023-03-29 - 来自专栏linux、Python学习
10大Python开源项目推荐
本文是 Mybridge 挑选的 10 个 Python 开源项目,Github 平均star 2135,希望你能够喜欢~~ ▌Rank 1:Requests-HTML v0.9(7385 stars 项目地址: https://github.com/kennethreitz/twitter-scraper ▌Rank 10:Fast-Pandas(667 stars on Github,来自M.
1.7K21发布于 2019-04-12 - 来自专栏Python数据科学
安利 10 个开源推荐系统
本次给大家安利 10 个开源的推荐系统,GitHub链接如下。然后再给大家介绍下推荐系统框架下各个环节及作用。 /lightfm https://github.com/lyst/lightfm 9、python-recsys/crab https://github.com/python-recsys/crab 10
3.1K10编辑于 2022-04-12 - 来自专栏汪宇杰博客
Windows 10《描图》应用现已开源
《描图》是我最早的Windows 10应用,发布至今已3年多,积累了全球数百万用户,广受好评。现已开源。 ? 这款应用为不少小朋友带去了欢乐,体验绘画的乐趣,也帮助过专业用户复刻数百幅古代绘画。 可以说是 Windows 10 电子墨迹平台实力的证明。 然而我自身繁忙的工作与新的规划,无法在 Windows 应用上保持投入,因此我决定将它开源,贡献给社区,共同为 Windows 10 创造一个更好的明天。 针对Windows 10创意者更新拥有大量新特性及易用性改进,如全新的画笔工具、标尺及量角器工具,并支持Surface Dial等轮盘设备! ? 功能 ? 多种画笔及辅助标尺等工具 ? /tracing-windows-10-great-app-beginner-artists ?
1.1K20发布于 2019-07-09 - 来自专栏用户6726194的专栏
ERP软件使供应链自动化的10个理由
一个直接的答案是通过供应链自动化。 许多制造主管正在采取步骤,通过供应链自动化来提高生产率。供应链自动化可以加快产品和服务从供应商向客户转移的速度,同时降低成本并提高利润。 首席运营官实现供应链自动化的驱动力有多种。这些包括: 降低运营成本 供应链自动化有助于降低人工成本。它还可以减少与库存存储相关的库存,仓储和间接费用,包括租金,人工和能源成本。 节省时间 通过简化业务流程,供应链自动化可通过减少与执行诸如会计等劳动密集型任务相关的时间来节省时间。人工流程的减少可以为制造商节省大量时间和金钱。 降低运营成本 供应链自动化有助于降低人工成本。它还可以减少与库存存储相关的库存,仓库和间接费用,包括租金,人工和能源成本。
62200发布于 2019-12-28 - 来自专栏绿盟科技研究通讯
开源软件供应链安全系列:OSS风险点与预防
软件供应链安全包括两部分,一是引入的开源组件包中存在漏洞,二是引入的开源组件包中存在攻击者精心制作的恶意代码。 开源软件供应链安全攻击风险点 开源软件除了引入漏洞等不安全因素,在使用的过程中还包含人为攻击的各种风险点。 开源软件供应链安全防护措施 目前这两年针对软件供应链的产品逐渐完善,形成针对各个流程的安全防护手段,下面主要概述针对开源软件供应链攻击的防护措施。 总结与思考 列出的安全风险点有助于提高对开源软件供应链威胁的认识,有助于确定给定利益相关者对供应链攻击的暴露程度。下面是我的总结内容: 1. 开源软件供应链安全研究综述. *软件学报*, 0-0. 3. CodeWisdom.技术科普:浅谈开源软件供应链风险.
1.8K20编辑于 2023-02-22 时隔10年,三星再度进入苹果CIS供应链
10月3日消息,据韩国媒体dealsite.co.kr报道,业内消息显示,三星电子的CMOS图像传感器(CMOS Image Sensor,CIS)重返苹果供应链,并且苹果针对三星生产的CIS初始订单量已由原定的每月约 由于这是三星时隔十年再度进入苹果CIS 供应链,市场普遍解读为三星为符合iPhone 严格规格而采取更谨慎策略,预期最快需到明年底才会对三星营收带来实质的助力。
10810编辑于 2026-03-20
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号