- 综合排序
- 最热优先
- 最新优先
- 来自专栏旅途散记
谷歌的开源供应链安全
请注意,受信任软件不需要是开源的,只有恶意代码必须开源。 例如,2018年11月,npm event-stream包被发现包含恶意代码,当链接到copay移动应用程序时,该代码会盗取比特币钱包。 copay是开源的,但事件流是开源的,所以这是一个开源供应链攻击。代码在两个半月的时间里都没有被发现,你知道攻击者是如何开展行动的? 他们只是问作者是否希望他们接管代码的维护,得到的回复是"是的,非常感谢" 篡改 npm 包盗取比特币始末[11] 但并发所有的供应链问题都是攻击, 除了供应链攻击之外,还有供应链漏洞。 xpdf 中的问题是一项错误,log4j中的问题是一个功能,他们都不是恶意的,但是都是供应链的重要组成部分.因此让我们扩大供应链漏洞的定义,将开源供应链漏洞定义为由开源组件引起的可信软件中的可利用弱点。 现在我们可以将开源供应链安全定义为防御开源供应链攻击和开源供应链漏洞的工程。
61610编辑于 2023-12-19 供应链投毒预警 | 开源供应链投毒202401最新月报来啦!
概述悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库,结合程序动静态分析方法对潜在风险的开源组件包进行分析和监测,捕获大量开源组件恶意包投毒攻击事件。 2024 年 1 月份,悬镜供应链安全情报中心在 Npm 官方仓库(https://www.npmjs.com/)和 Pypi 官方仓库(https://pypi.org/)上共捕获 675 个不同版本的恶意投毒包 去混淆后的第四阶段攻击代码如下所示(这部分攻击代码和我们2023年11月份发现的HTTP代理SDK投毒攻击代码完全一致):通过 IDA 逆向第五阶段 shellcode 攻击代码 (shellcode_stage1 详细分析请参考:供应链投毒预警 | 恶意 Py 包仿冒 tensorflow AI 框架实施后门投毒攻击DNS 查询外传敏感信息该攻击方式是一种较为隐蔽的信息窃取手法,通常在包管理器安装或者加载投毒包时自动执行用于收集受害者系统敏感数据的 悬镜供应链安全情报中心将持续监测全网主流开源软件仓库,对潜在风险的开源组件包进行动态跟踪和溯源,实现快速捕获开源组件投毒攻击事件并第一时间提供精准安全预警。
76210编辑于 2024-03-02- 来自专栏云云众生s
开源安全供应链走向成熟的2023年
事实上,它与现代开发那么交织在一起,以至于代码所有者通常不知道自己软件中的开源组件。" 唉。 正如Synopsys报告的那样,"确保软件供应链安全的第一步是管理应用程序中的开源和第三方代码。 如果您无法有效管理和确保开源和第三方软件的安全性,那么为确保供应链安全所做的任何其他努力都将失效 - 或者坦率地说,甚至无关紧要。" Synopsys没有说错。 虽然2023年的大部分主要安全改进都是针对软件供应链的,但还有其他重大进展。其中之一是漏洞利用可能性交换(VEX)及其开源实现OpenVEX的兴起。 开发者安全公司Snyk在其2023年软件安全调查中发现,尽管针对开源代码的网络攻击数量创历史新高,但40%的受访者仍然不使用关键的供应链安全技术。 当然,公司知道存在问题,但Synk发现他们正在特殊的基础上解决供应链安全问题。只有一半的公司有正式的供应链安全策略。 我们在2024年的安全任务很清晰。
38910编辑于 2024-03-28 - 来自专栏SDNLAB
开源软件的供应链是否存在安全风险?
去年发生了一些令人震惊的攻击,这使得开源软件供应链的安全性备受质疑。 那么,这是否意味着开源软件可以安全地再次使用? 答案是不完全是,企业为了更好地保护自己,需要了解开源软件供应链的工作原理,我们生活中几乎所有的设备都包含一个嵌入式开源软件和运行时库的复杂系统。 不幸的是,要理解别人上传的软件非常困难,人们可能会恶意地改变供应链中的数据包或库。 无论你在开源供应链中的角色如何,如果我们要防范未来的攻击,必须对安全性给予更多的关注。安全专业人员通过默默无闻的方式熟悉安全性,他们错误地认为,如果软件很难理解,就很难发起攻击。 去年的攻击表明,通过滥交(将开放源代码无管理地纳入软件供应链)带来的不安全感是我们面临的新的问题。
1.1K50发布于 2018-06-11 - 来自专栏深度学习与python
如何保护你的开源项目免遭供应链攻击
作者 | Anne Bertucio 译者 | 平川 策划 | 赵钰莹 过去一年可谓是供应链安全年。 如果你是一个开源维护者,当你了解了项目的攻击面以及项目整个供应链的威胁载体,你可能会感到不知所措,甚至觉得无法克服。好消息是,2021 年也是供应链安全解决方案年。 虽然还有很多工作要做,现有的解决方案也有很大的改进空间,但已经可以对项目进行预防性控制,以强化供应链,免受安全威胁。 本文最初发表于谷歌开源博客,由 InfoQ 中文站翻译并分享。 本文介绍了相关问题、答案和预防选项,如果你想保护自己的开源项目免受供应链攻击,那么这是一份不错的初级指南。 开源项目安全性的相关资源: SLSA:一个供应链安全等级框架 Scorecards:安全最佳实践应用评价工具 Allstar:一个确保采用安全最佳实践的 GitHub 应用 Open Source Insights
88330编辑于 2022-04-19 - 来自专栏机器人网
11个这类开源名称的词源
与我们习以为常的许多知名品牌(比如“舒洁”或“百事可乐”)一样,开源界也有一堆独特的名称,这些名称一度对某些人有着特殊的含义,我们根本不知道其真实起源就接受了它们。 不妨看看11个这类开源名称的词源。 3.Kubernetes 这个用于自动化部署、扩展和管理容器化应用程序的开源系统又叫“K8s”,其名称来自希腊语中的“操舵员”或“驾驶员”。 11.Wikipedia 想获得这个答案,让我们转到维基百科吧!1995年,Howard G.“Ward”Cunningham开发了WikiWikiWeb,这是“可能管用的最简单的在线数据库。” 首字母缩写词、混合词、酒吧和外来词,这些只是开源名称词源的几个例子。还有另外很多名称。你在开源界还遇到过哪些奇怪陌生的词汇?它们来自哪里?又是什么意思?欢迎留言交流。
1K50发布于 2018-04-12 - 来自专栏FreeBuf
为强化软件供应链安全,谷歌启动GUAC开源项目
10月20日,Google宣布正在为名为Graph for Understanding Artifact Composition(GUAC)的开源项目寻找感兴趣的贡献者,以此进一步强化软件供应链安全。 谷歌Brandon Lum、Mihai Maruseac 和 Isaac Hepworth称,GUAC开源项目将可以解决整个生态系统中迅速发展的工作所产生的需求,以生成软件构建、安全和依赖元数据。 GUAC旨在让每个组织都可以只有访问和调用这些信息,正在发挥开源的共享和民主的特性。 谷歌多手段强化供应链安全 在启动GUAC开源项目之前,谷歌在供应链安全方面已经有了多个动作。 支撑此架构的数据来自Sigstore、GitHub、开源漏洞( OSV )、Grype和Trivy等,以在漏洞、项目、资源、开发人员、工件和存储库之间建立有意义的关系。
51130编辑于 2022-11-14 - 来自专栏OpenSCA
供应链投毒预警 | 开源供应链投毒202404月报发布(含投毒案例分析)
概述悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库,结合程序动静态分析方式对潜在风险的开源组件包进行动态跟踪和捕获,发现大量的开源组件恶意包投毒攻击事件。 在2024年4月份,悬镜供应链安全情报中心在NPM官方仓库(https://www.npmjs.com/)和Pypi官方仓库(https://pypi.org/)上共捕获772个不同版本的恶意组件包,其中 NPM仓库投毒占比接近89%, Pypi仓库投毒占比11%;Pypi官方仓库经历3月份遭受集中式投毒后,对新发布组件包进一步加强审查力度,本月Pypi恶意投毒攻击呈现大幅下降趋势。 投毒案例分析本节将从4月份捕获的开源组件恶意包中选取部分具有代表性的投毒样本进行分析、还原投毒攻击细节。 这些恶意包具有相同的攻击代码以及相同的高版本号(99.0),可推断攻击者尝试进行包依赖混淆(Dependency Confusion)供应链投毒。
1.1K10编辑于 2024-05-21 - 来自专栏FreeBuf
重大供应链威胁!这个 Java 开源框架存在严重漏洞
美国网络安全和基础设施安全局(CISA)的安全研究人员报告称,一个受广泛使用的开源Java框架中存在严重漏洞并被攻击者利用,以向未打补丁的服务器部署后门。 专家表示,这种情况可能会对未打补丁的软件构成重大供应链威胁。 供应链面临风险 当Huntress对该漏洞进行分析时,没有证据表明存在主动利用的情况。 这对攻击者来说无疑是利好的,同时这可能给供应链带来重大风险。 Fox-IT的研究表明,全世界对ConnectWise的R1Soft服务器软件的利用大约始于11月底,也就是Huntress发布其PoC之后不久。
59410编辑于 2023-03-29 - 来自专栏python3
11.python开源——工程项目结构
模块对应的是一个.py 文件,那么module_name 就是这个文件去掉.py 之后的文件名,py 文件中可以直接定义一些变量、函数、类。
87910发布于 2020-01-08 - 来自专栏Qt项目实战
Qt开源作品11-屏幕录制控件
最开始使用的是ScreenGif.exe,用了很久,感觉还可以,后面一个朋友推荐用LICEcap.exe,体积更小,压缩比更高,再到后来发现有个gif.h开源的类,调用其中的方法可以实现将多张图片合并到一张 ->setText("开始"); QDesktopServices::openUrl(QUrl(fileName)); } } 三、效果图 [gifwidget.gif] 四、开源主页 以上作品完整源码下载都在开源主页,会持续不断更新作品数量和质量,欢迎各位关注。
1.4K00发布于 2020-05-16 - 来自专栏CSDN技术头条
分享11款主流的开源编程工具
导读:有了开源编程工具,在基于开源许可证的情况下您可以轻松学习、修改、提高代码的质量,本文收集了11款最主流的且有价值的开源编程工具。或许会给您带来一丝惊喜。一起来看下吧。 Rhomobile Rhodes是一个创建Ruby网站和开发iPhone app的开源平台。只要你愿意你还可以使用jQuery Mobile来处理布局。 Apache Cassandra是一套开源分布式Key-Value存储系统。它最初由Facebook开发,用于储存特别大的数据。Facebook目前在使用此系统。 NO.11 Content management systems(内容管理系统) ? 大多数程序员通过填写文本文件来编译和运行代码。而这一形势正在不断改变,软件运行时用户可以通过多种方式对其进行控制。
1.4K70发布于 2018-02-08 - 来自专栏编程微刊
11个免费开源后台管理系统模板
当你写项目的时候,如何快速的完成一个项目的搭建,这个时候就需要借助到一些模板了,前端开发的一个好处就是,各类UI模板都是相当的齐全的,直接拿来用就可以了,脱离了一行又一行垒代码的繁琐的工作,以下的开源后台管理系统模板是我在逛 Material Dashboard 是一个开源的 Material Bootstrap Admin,其设计灵感来自谷歌的 Material Design 。 10:d2-admin 推荐指数:star:8.7k github地址:https://github.com/d2-projects/d2-admin D2Admin 是一个完全 开源免费 的企业中后台产品前端集成方案 ,基于 vue.js 和 ElementUI 的管理系统前端解决方案 ,小于 60kb 的本地首屏 js 加载,已经做好大部分项目前期准备工作 11:vuestic-admin 推荐指数:star:7.1k
6.7K11编辑于 2025-05-19 - 来自专栏绿盟科技研究通讯
开源软件供应链安全系列:OSS风险点与预防
软件供应链安全包括两部分,一是引入的开源组件包中存在漏洞,二是引入的开源组件包中存在攻击者精心制作的恶意代码。 开源软件供应链安全攻击风险点 开源软件除了引入漏洞等不安全因素,在使用的过程中还包含人为攻击的各种风险点。 开源软件供应链安全防护措施 目前这两年针对软件供应链的产品逐渐完善,形成针对各个流程的安全防护手段,下面主要概述针对开源软件供应链攻击的防护措施。 总结与思考 列出的安全风险点有助于提高对开源软件供应链威胁的认识,有助于确定给定利益相关者对供应链攻击的暴露程度。下面是我的总结内容: 1. 开源软件供应链安全研究综述. *软件学报*, 0-0. 3. CodeWisdom.技术科普:浅谈开源软件供应链风险.
1.8K20编辑于 2023-02-22 - 来自专栏编程微刊
11个免费开源后台管理系统模板
当你写项目的时候,如何快速的完成一个项目的搭建,这个时候就需要借助到一些模板了,前端开发的一个好处就是,各类UI模板都是相当的齐全的,直接拿来用就可以了,脱离了一行又一行垒代码的繁琐的工作,以下的开源后台管理系统模板是我在逛 根据大家的建议,把忘记的这个框架也补充,这个框架有收费和免费的版本,在去年的时候进入过开源中国前端框架最受欢迎的框架前三名,实至名归,确实很好用,支持单页面,PC端和响应式移动端。 ? Material Dashboard 是一个开源的 Material Bootstrap Admin,其设计灵感来自谷歌的 Material Design 。 ? 11:d2-admin 推荐指数:star:8.7k github地址:https://github.com/d2-projects/d2-admin D2Admin 是一个完全 开源免费 的企业中后台产品前端集成方案
58.4K1010发布于 2020-06-03 - 来自专栏数商云贸
迎战“双11”,企业如何以供应链赋能借势提升业绩?
现如今,“双11”早不仅是电商平台扩大销售的风口,也是考验供应链、凝聚商家资源的关口。全球知名咨询公司贝恩公司发布报告称,69%受访者计划“双11”期间在3个或以上的平台购物。 实体零售、电商平台、社交平台、兴趣电商……交易场景层出不穷,供应链在承受“双11”峰值订单压力的同时还承受着多元销售渠道叠加带来的多重考验,什么样的供应链体系可以高效支撑这么多不同交易场景的交付体系? 图片通过科学合理的信息化战略布局,数商云供应链管理系统具备高度集成、深度统一的特点,可帮助企业实现协同管理,实现1+1>2的合力作用,保障企业“双11”期间供应链的稳定响应。 图片04 供应商全生命周期管理,有效缩短交货期在“双11”大促期间,对企业供应链运营的柔性与应变性提出了更高的要求。 图片综上,建立一个更加灵活、敏捷、准确、可视化的数字化供应链管理系统,将有利于企业在“双11”期间降本增效、降低风险、提高合规遵从,扩大销售业务,加快企业智能化转型升级。
4.4K20编辑于 2022-11-11 - 来自专栏汇智网教程
基于超级账本Fabric的供应链跟踪解决方案【开源】
本项目为基于Hyperledger Fabric区块链的供应链资产跟踪解决方案,项目主要包括链码和Web应用两部分。
1.5K30发布于 2019-03-29 - 来自专栏深度学习与python
2021年11款最佳的开源 Kubernetes 工具
本文列出作者自己最常用的 11 款 Kubernetes 工具,并对它们进行了分类介绍。 Kubernetes 是一个非常强大的容器编排平台。 通过提供一个开源标准,Kubernetes 可以将一个组织从数十年自己摸索的“容器策略”中拯救出来,幸运的是,这个标准也是每个主要云供应商的标准。 以下是我自己最常用的 11 款 Kubernetes 工具,我将它们进行了分类:哪些是可以帮助我运行 Kubernetes 的工具,哪些是测试 Kubernetes 的工具,以及哪些是可以让我在 IDE 很幸运的是,DevSpace 是一个开源的命令行实用程序,它可以将 Kubernetes 开发人员体验包在一个温暖的拥抱中。 所有这三个类别都可以引导你在开源生态系统中获取维护良好的软件,这可以帮助你像我们及其他人一样成为更好的 YAML 牧民。
1.1K20编辑于 2023-04-01 - 来自专栏腾源会
长跑 11 年,腾讯开源的变与不变
在今年11月3日和4日于武汉举办的腾讯数字生态大会中,腾讯公司副总裁王巨宏对外首次披露了腾讯在5大技术领域的开源新进展,围绕项目开源、社区治理和生态共建三个方向,腾讯在过去的十余年中取得了令人瞩目的成绩 为了进一步了解时代开源发展趋势,腾讯开源的具体发展,在大会的现场,CSDN采访了王巨宏并听她讲述了腾讯开源与国内开源发展的那些故事。 王巨宏介绍了开源生态的三大发展阶段,在第一个阶段,用户参与开源的理由是使用的需求,当项目的特性不能满足使用需要时,就需要参与进社区为项目打patch,从使用开源软件到解决开源软件的问题;第二阶段是基于整个开源模式进行开发 PART TWO 从开源习惯,到开源文化 今年,“十四五”规划纲要首次明确指出应完善开源知识产权和法律体系,这足以说明开源的价值,也带动了开源在国内新的风潮。 、开源爱好者、开源领导者的开放社区,致力于帮助开源项目健康成长、开源爱好者能交流协助、开源领导者能发挥领袖价值,让全球开源生态变得更加繁荣。
59030发布于 2021-11-22 - 来自专栏编程
GitHub上11 月份最热门的开源项目
链接:www.itcodemonkey.com/article/1468.html 转载请注明来源作者 2017 年 11 月份 GitHub 上最热门的开源项目新鲜出炉,自猿妹推出 GitHub 月度热门开源项目榜单以来 9 开源标记语言 heml https://github.com/SparkPost/hemlStar3347 本月上涨 2260 HEML是用于构建响应式电子邮件的开源标记语言。
1.6K00发布于 2017-12-27
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号