- 综合排序
- 最热优先
- 最新优先
- 来自专栏旅途散记
谷歌的开源供应链安全
copay是开源的,但事件流是开源的,所以这是一个开源供应链攻击。代码在两个半月的时间里都没有被发现,你知道攻击者是如何开展行动的? (该附件)声称是一个gif,实际是一个包含JBIG2的pdf 谷歌安全研究员直呼复杂 | iMessage 零点击漏洞利用细节公开[12] 1张GIF图片即可黑进iPhone! [13] Apple的软件使用了用C语言编写的开源xpdf jbig2解码器,并且该解码器没有正确验证图像中编码的霍夫曼树,从而可以触发攻击者控制偏移处的内存。 xpdf 中的问题是一项错误,log4j中的问题是一个功能,他们都不是恶意的,但是都是供应链的重要组成部分.因此让我们扩大供应链漏洞的定义,将开源供应链漏洞定义为由开源组件引起的可信软件中的可利用弱点。 现在我们可以将开源供应链安全定义为防御开源供应链攻击和开源供应链漏洞的工程。
61610编辑于 2023-12-19 - 来自专栏腾讯安全
Patch2QL:开源供应链漏洞挖掘和检测的新方向
作为软件供应链研究重点,腾讯安全云鼎实验室通过对开源上下游的典型实践的长期分析和漏洞挖掘,论证了供应链的典型威胁,特别是“同源漏洞”的风险模型。 实战:上游开源项目漏洞挖掘Patch2QL的关键应用之一,是挖掘上游开源项目自身由于复杂的开发历史和人员构成,所存在的与历史漏洞相同成因的缺陷。 在2023年6-7月为期2个月的简单测试中,在已覆盖的111个上游开源项目中,使用生成的历史漏洞规则扫描各项目最新分支代码,均有不同程度的检测发现。 结果揭示了开源供应链下游实践中不同程度的来由的问题,并通过向相关厂商和社区反馈,及时封堵了这些长时间存在的风险。 公开资源与规划Patch2QL是一项服务于开源供应链安全的技术,为在开源生态中发挥最大化效能,其产出已由云鼎实验室面向开源生态公开使用。
1.1K10编辑于 2024-01-31 供应链投毒预警 | 开源供应链投毒202401最新月报来啦!
概述悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库,结合程序动静态分析方法对潜在风险的开源组件包进行分析和监测,捕获大量开源组件恶意包投毒攻击事件。 2024 年 1 月份,悬镜供应链安全情报中心在 Npm 官方仓库(https://www.npmjs.com/)和 Pypi 官方仓库(https://pypi.org/)上共捕获 675 个不同版本的恶意投毒包 Base64 编码的恶意代码 url 为:aHR0cHM6Ly9naXN0LmdpdGh1Yi5jb20vS2FyYXZheWV2QWxleGVpL2JkZjRmOWUyODA3MTRkODczMDNkNDkwOWQxOWRlM2E3L3Jhdy8zMTYzZTljOWZmNjE4YzUwYThkOGE5ZjYwMDUzYTM2ODM5ODVlMzUxL21hY2QuYjY0Cg 详细分析请参考:供应链投毒预警 | 恶意 Py 包仿冒 tensorflow AI 框架实施后门投毒攻击DNS 查询外传敏感信息该攻击方式是一种较为隐蔽的信息窃取手法,通常在包管理器安装或者加载投毒包时自动执行用于收集受害者系统敏感数据的 悬镜供应链安全情报中心将持续监测全网主流开源软件仓库,对潜在风险的开源组件包进行动态跟踪和溯源,实现快速捕获开源组件投毒攻击事件并第一时间提供精准安全预警。
76210编辑于 2024-03-02- 来自专栏SAP最佳业务实践
mySAP 供应链管理-成功故事2
嘉士伯公司决定采用mySAP供应链管理解决方案(mySAP SCM)来处理业务活动。该公司在普华永道公司的协助下仅用了四个月的时间内完成了mySAP供应链解决方案的实施,并实现了预想效果。 在选择mySAP供应链管理解决方案之前,嘉士伯公司对这个解决方案进行了认真的评估。 Korsholm认为,"mySAP供应链解决方案很好地解决了我们生产销售的计划问题。 此前我们一直在寻找一种能允许用户在一个屏幕环境下,全面查看业务活动,而不必在各种应用之间来回切换的供应链解决方案。" 供应链与客户关系管理整合 这种企业内部的综合集成为嘉士伯提供了灵活的运作能力。 我们也将利用导航系统与供应商开展B2B采购业务。"我们将利用SAP的解决方案,将原料采购系统(如玻璃瓶和包装箱)与预测计划系统集成。" 最终实现业务系统的全面整合和以互联网为主导的供应链。
1K50发布于 2018-03-27 - 来自专栏数商云贸
化工供应链如何向产业互联网转型,S2B2C供应链系统提升企业供应链效率
S2B2C供应链电商平台基于SaaS模式,通过整合化工行业上游供应链资源,实现供应商直采,赋能渠道提升业务处理效率和客户体验,从而提升企业管理及供应链管理效率,强化产业基础,优化化工产业体系。 3、服务集成S2B2C供应链管理系统的模式本质上是网络协同,通过互联网的方式让更多元的角色可以参与,共同服务海量的c,其中涵盖的服务有仓储配送,客服,技术,培训,IT系统等,通过S2B2C供应链电商平台提供全方位的商业支持 S2B2C供应链电商平台系统主要功能介绍1、多类型分类管理客户个人客户、企业客户、内部组织都由S2B2C平台统一管理,S2B2C系统的不同客户注册形式及流程不同,不同类型客户等级的S2B2C供应链电商平台系统体系也不同 S2B2C供应链电商平台上有据可查。 5、资金结算管理化工企业S2B2C系统实现对供应链全过程产生各项目费用进行核算和对账等管理,S2B2C供应链管理系统平台可与企业内部的财务系统实现对接,可设置S2B2C电商平台上各部门各角色分账比例,收款单
48910编辑于 2022-07-27 - 来自专栏云云众生s
开源安全供应链走向成熟的2023年
事实上,它与现代开发那么交织在一起,以至于代码所有者通常不知道自己软件中的开源组件。" 唉。 正如Synopsys报告的那样,"确保软件供应链安全的第一步是管理应用程序中的开源和第三方代码。 如果您无法有效管理和确保开源和第三方软件的安全性,那么为确保供应链安全所做的任何其他努力都将失效 - 或者坦率地说,甚至无关紧要。" Synopsys没有说错。 虽然2023年的大部分主要安全改进都是针对软件供应链的,但还有其他重大进展。其中之一是漏洞利用可能性交换(VEX)及其开源实现OpenVEX的兴起。 开发者安全公司Snyk在其2023年软件安全调查中发现,尽管针对开源代码的网络攻击数量创历史新高,但40%的受访者仍然不使用关键的供应链安全技术。 正如国际信息系统安全认证联合会(ISC2)最近指出的,我们当前缺少400万名网络安全专家来支持全球经济。 使用开源代码的公司应该做些什么?
38810编辑于 2024-03-28 - 来自专栏SDNLAB
开源软件的供应链是否存在安全风险?
去年发生了一些令人震惊的攻击,这使得开源软件供应链的安全性备受质疑。 那么,这是否意味着开源软件可以安全地再次使用? 答案是不完全是,企业为了更好地保护自己,需要了解开源软件供应链的工作原理,我们生活中几乎所有的设备都包含一个嵌入式开源软件和运行时库的复杂系统。 不幸的是,要理解别人上传的软件非常困难,人们可能会恶意地改变供应链中的数据包或库。 以PyPi为例,攻击者会使用“typosquatting”,他们上传了一个名为“bzip”的库,模仿“bz2file”。 无论你在开源供应链中的角色如何,如果我们要防范未来的攻击,必须对安全性给予更多的关注。安全专业人员通过默默无闻的方式熟悉安全性,他们错误地认为,如果软件很难理解,就很难发起攻击。
1.1K50发布于 2018-06-11 - 来自专栏深度学习与python
如何保护你的开源项目免遭供应链攻击
如果你是一个开源维护者,当你了解了项目的攻击面以及项目整个供应链的威胁载体,你可能会感到不知所措,甚至觉得无法克服。好消息是,2021 年也是供应链安全解决方案年。 虽然还有很多工作要做,现有的解决方案也有很大的改进空间,但已经可以对项目进行预防性控制,以强化供应链,免受安全威胁。 本文最初发表于谷歌开源博客,由 InfoQ 中文站翻译并分享。 本文介绍了相关问题、答案和预防选项,如果你想保护自己的开源项目免受供应链攻击,那么这是一份不错的初级指南。 一个典型的软件供应链的例子,以及链中每个环节上可能发生的攻击的例子 问题 1:如何防止你的开发者账号被接管? 1. 答:使用多因素身份验证(可能的话,使用安全密钥) 2. 开源项目安全性的相关资源: SLSA:一个供应链安全等级框架 Scorecards:安全最佳实践应用评价工具 Allstar:一个确保采用安全最佳实践的 GitHub 应用 Open Source Insights
88330编辑于 2022-04-19 - 来自专栏FreeBuf
为强化软件供应链安全,谷歌启动GUAC开源项目
10月20日,Google宣布正在为名为Graph for Understanding Artifact Composition(GUAC)的开源项目寻找感兴趣的贡献者,以此进一步强化软件供应链安全。 谷歌Brandon Lum、Mihai Maruseac 和 Isaac Hepworth称,GUAC开源项目将可以解决整个生态系统中迅速发展的工作所产生的需求,以生成软件构建、安全和依赖元数据。 GUAC旨在让每个组织都可以只有访问和调用这些信息,正在发挥开源的共享和民主的特性。 谷歌多手段强化供应链安全 在启动GUAC开源项目之前,谷歌在供应链安全方面已经有了多个动作。 支撑此架构的数据来自Sigstore、GitHub、开源漏洞( OSV )、Grype和Trivy等,以在漏洞、项目、资源、开发人员、工件和存储库之间建立有意义的关系。
51130编辑于 2022-11-14 - 来自专栏OpenSCA
供应链投毒预警 | 开源供应链投毒202404月报发布(含投毒案例分析)
概述悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库,结合程序动静态分析方式对潜在风险的开源组件包进行动态跟踪和捕获,发现大量的开源组件恶意包投毒攻击事件。 在2024年4月份,悬镜供应链安全情报中心在NPM官方仓库(https://www.npmjs.com/)和Pypi官方仓库(https://pypi.org/)上共捕获772个不同版本的恶意组件包,其中 投毒案例分析本节将从4月份捕获的开源组件恶意包中选取部分具有代表性的投毒样本进行分析、还原投毒攻击细节。 这些恶意包具有相同的攻击代码以及相同的高版本号(99.0),可推断攻击者尝试进行包依赖混淆(Dependency Confusion)供应链投毒。 pip3 install rhermann -i https://pypi.tuna.tsinghua.edu.cn/simplePart2 恶意设立了命令执行4月2号,攻击者在NPM官方仓库发布包名为
1.1K10编辑于 2024-05-21 - 来自专栏FreeBuf
重大供应链威胁!这个 Java 开源框架存在严重漏洞
美国网络安全和基础设施安全局(CISA)的安全研究人员报告称,一个受广泛使用的开源Java框架中存在严重漏洞并被攻击者利用,以向未打补丁的服务器部署后门。 专家表示,这种情况可能会对未打补丁的软件构成重大供应链威胁。 CISA和Huntress都是根据Fox-IT 2月22日发表的研究报告发出警告的,该报告发现有证据表明攻击者使用易受攻击版本的ConnectWise R1Soft Server Backup Manager 供应链面临风险 当Huntress对该漏洞进行分析时,没有证据表明存在主动利用的情况。 这对攻击者来说无疑是利好的,同时这可能给供应链带来重大风险。
59410编辑于 2023-03-29 - 来自专栏绿盟科技研究通讯
开源软件供应链安全系列:OSS风险点与预防
软件供应链安全包括两部分,一是引入的开源组件包中存在漏洞,二是引入的开源组件包中存在攻击者精心制作的恶意代码。 开源软件供应链安全攻击风险点 开源软件除了引入漏洞等不安全因素,在使用的过程中还包含人为攻击的各种风险点。 开源软件供应链安全防护措施 目前这两年针对软件供应链的产品逐渐完善,形成针对各个流程的安全防护手段,下面主要概述针对开源软件供应链攻击的防护措施。 软件供应链安全的防护需要所有环节的人员去共同维护,攻击者需要找到链条中单一弱点即可,而防御者需要覆盖整个攻击面。 2. 应提升所有环节人员的安全意识,从根本上解决安全问题。 3. 开源软件供应链安全研究综述. *软件学报*, 0-0. 3. CodeWisdom.技术科普:浅谈开源软件供应链风险.
1.8K20编辑于 2023-02-22 - 来自专栏汇智网教程
基于超级账本Fabric的供应链跟踪解决方案【开源】
本项目为基于Hyperledger Fabric区块链的供应链资产跟踪解决方案,项目主要包括链码和Web应用两部分。 2、浏览器中的客户端JS代码将通过websocket与Node.js应用交互,当管理员操作界面时,客户端 JS将向后端发送消息。
1.5K30发布于 2019-03-29 - 来自专栏宜信技术实践
钢铁B2B电商案例:供应链金融如何解决供应链金融痛点
为此,区块链系统采用了开源的、去中心化的协议来保证数据的完备记录和存储。区块链构建了一整套协议机制,让全网络的每个节点在参与记录数据的同时,也参与验证其他节点记录结果的正确性。 供应链金融的基础,又是供应链。供应链涉及信息流、资金流、物流和商流,天然是个多主体、多协作的业务模式。 平台采用区块链多链结构,B2B平台、供货商、采购方、仓储机构、物流机构作为数据录入节点,将供应链中的信息流、商流、物流数据存储在区块链上。 以下为钢铁B2B电商大大买钢在Blockworm平台利用区块链进行业务数据记录的案例。 [图片描述] 图2.融资链记录融资资产产生的过程 同时,在交易链中,数字化资产可以进行拆分,做为债权(或资本)向上游供货商进行采购,这样依托于核心企业的信用,就可以传递到整个供应链中,为供应链中的中小企业增信
6.5K31发布于 2019-10-30 - 来自专栏数商云网络
供应链架构——从企业到产业B2B
过去我们研究供应链架构,往往以企业为对象,从单一链条展开,关注供应链上的核心企业(链主)与非核心企业(链属)之间如何进行有效协同,从而提升单一供应链的效率和价值,并与其它供应链展开竞争。 在供应链网络中,产业B2B平台方同时为多条供应链服务,他们通过提供丰富多样的增值服务,吸引了大量的上下游企业入驻平台,形成了“企业(N)+产业平台(1)+企业(M)”的模式。 具体见笔者专著《供应链架构师——从战略到运营》第三章。核心企业地位的强弱体现在其对该封闭链条三流的掌控力上。 2. 2. 资金流:提供供应链N+1+M服务,提供信用,风控是关键 在资金流上,产业平台作为第三方,可以依托上下游交易提供丰富的供应链金融产品,并通过控制物权、数据、交易等来提供信用。 掌握了信息流,才有了大数据的基础,才有可能未来走向C2M/C2B反向定制。 5. 典型案例: 供应链,从企业到产业B2B,从封闭到开放,是大势所趋。
92730发布于 2020-02-28 - 来自专栏用户10628350的专栏
生鲜B2B供应链怎样提升配送效率
随着数字经济持续深化发展,生鲜供应链行业数字化升级迎来新的发展机遇。与此同时,为生鲜供应链提供数字化支持的服务商也在不断涌现。 从采购、仓储到分拣、配送等等,生鲜供应链环节多结构复杂,人工、损耗、配送等成本在冗长的环节中不断增加。 针对生鲜流通领域的效率与成本等痛点,软件服务商也不断创新生鲜配送系统等数字化产品,为生鲜配送等企业等降低生鲜食材流通成本、提高供应链整体运作效率。 软件商们在创新迭代生鲜配送系统过程中,通过增加云打印功能,更能让产品贴合生鲜食材供应链的业务流程,从而提高市场竞争力!
37420编辑于 2023-08-28 - 来自专栏深度学习与python
从 10 万 npm 用户信息被窃看开源软件供应链安全
作者 | 赵钰莹 如今,所有热爱开源的开发者可能都心怀担忧:开源软件的供应链安全问题如何解决? 2、2021 年 5 月 12 日,美国总统拜登签署名为“加强国家网络安全的行政命令”(Executive Order on Improving the Nation’s Cybersecurity)以加强网络网络安全和保护联邦政府网络 3、在 2022 年 2 月份,NIST 发布《软件供应链安全指南》,其中核心要求: 软件开发者应实施并证明采用了安全软件开发实践; 安全开发环境; 自动化工具确保代码完整性; 自动化工具检查漏洞; 4 具体为: 《软件供应链安全保障基本要求》 中国通信标准化协会标准 开源软件合规性问题解答 InfoQ:开源协议及其基金会在整个开源软件供应链中扮演着一个什么样的角色,他们具体能解决哪些问题? Gavin:站在软件供应链安全的角度,开源只是其中一部分,但目前绝大多数安全事件都是因为开源软件导致的,所以大家潜移默化会把软件供应链安全与开源软件漏洞紧密结合起来。
65010编辑于 2023-03-29 - 来自专栏腾讯开源的专栏
【开源公告】星际争霸2游戏AI TStarBots开源
TStarBots是《星际争霸2》游戏AI的代码实现。TStarBots使用了深度强化学习、模块化AI和动作空间分解等算法,以及大规模分布式强化学习平台。 本次开源的代码包括三部分: PySC2TencentExtension: 这是Deepmind原版PySC2的一个扩展。 增补的内容包括:1)暴露了game core中的raw interface 2) 添加了TechTree Data. TStarBot2: 这是一个基于动作空间层级化建模和规则控制器的AI. 详细描述见[1]的3.3节。 参考文献 [1] https://arxiv.org/pdf/1809.07193.pdf Github开源地址: https://github.com/Tencent/TStarBots (点击文末阅读原文直接访问
1.8K10发布于 2019-01-07 - 来自专栏数商云网络
数字化供应链|B2B供应链协同可视化如何应用全程业务化管理
图片B2B供应链管理战略就是协同供应链,协同对供应链管理成功与否起着最关键性的作用。鉴于供应链在各个行业中的作用,B2B供应链协同平台也将对电子商务行业发展产生重大影响。 制定一定的行为准则、价值观念、思维方式,给出解决B2B企业供应链协同过程中各类问题的解决方案。 B2B企业供应链协同应用全程业务管理B2B供应链协同管理主要以订单处理为核心,实现在商机、分销、促销、订单、库存、资金、支付等环节上无缝对接的全程化B2B协同平台,改善客户采购体验,降低企业成本,提高企业渠道建设与管理 可视化B2B供应链协同管理平台B2B供应链协同平台能解决采购商和供应商的供求链接问题;可供选择,可议价,公平,公正,可视化消费平台;供应链协同平台上能对供应商和采购商双向管理,供应商能及时看见商品的库存量 图片B2B供应链协同业务模式图片供应链协同特点特色一:针对不同行业需求,量身打造B2B协同系统供求关系的订单分销模式图片特色二:多終端接触——拓宽分销渠道满足供应商及采购商多种条件的需求,寻源过程来增加采购智能
1.2K30编辑于 2022-12-28 - 来自专栏RASP社区
GOTC演讲回顾|基于代码疫苗技术的开源软件供应链安全治理
在“聚焦开源安全”分论坛中,悬镜安全COO董毅进行了以“基于代码疫苗技术的开源软件供应链安全治理”为题的主题分享,围绕“代码疫苗技术”给出了一套覆盖治理与运营全流程的开源安全解决方案。 Gartner认为,到2025年,全球45%的组织会受到软件供应链攻击,比2021年增长三倍。近几年,重大的软件供应链攻击事件很多都与开源漏洞相关。开源供应链面临着严峻的安全风险。 著名的Equifax信息泄露事件的源头正是Apache Struts 2远程命令执行漏洞S2-045:在使用基于Jakarta插件的文件上传功能时存在远程命令执行,导致系统被恶意用户利用。 2. 看不见:企业在使用开源组件的过程中,不知道它们中有的已产生过安全漏洞和知识产权风险。很多企业会使用非常老旧的组件和软件,其中很多都是爆发过安全漏洞但没有及时更新的。 2.
47110编辑于 2023-06-25
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号