- 综合排序
- 最热优先
- 最新优先
- 来自专栏旅途散记
谷歌的开源供应链安全
如果你想了解更多或参考这些内容,这些幻灯片已经发布在go.dev/s/acmscored [3]上。 今天的演讲主题是Google的开源供应链安全。首先,让我们了解一下“供应链安全”到底是什么意思。 copay是开源的,但事件流是开源的,所以这是一个开源供应链攻击。代码在两个半月的时间里都没有被发现,你知道攻击者是如何开展行动的? xpdf 中的问题是一项错误,log4j中的问题是一个功能,他们都不是恶意的,但是都是供应链的重要组成部分.因此让我们扩大供应链漏洞的定义,将开源供应链漏洞定义为由开源组件引起的可信软件中的可利用弱点。 现在我们可以将开源供应链安全定义为防御开源供应链攻击和开源供应链漏洞的工程。 我想进一步缩小范围,看看1972年3月美国过去半个世纪的开源供应链安全。当时,美国空军开始对霍尼韦尔Multics系统进行审查,以了解其是否可以在安全环境中使用。
61610编辑于 2023-12-19 供应链投毒预警 | 开源供应链投毒202401最新月报来啦!
概述悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库,结合程序动静态分析方法对潜在风险的开源组件包进行分析和监测,捕获大量开源组件恶意包投毒攻击事件。 2024 年 1 月份,悬镜供应链安全情报中心在 Npm 官方仓库(https://www.npmjs.com/)和 Pypi 官方仓库(https://pypi.org/)上共捕获 675 个不同版本的恶意投毒包 Base64 编码的恶意代码 url 为:aHR0cHM6Ly9naXN0LmdpdGh1Yi5jb20vS2FyYXZheWV2QWxleGVpL2JkZjRmOWUyODA3MTRkODczMDNkNDkwOWQxOWRlM2E3L3Jhdy8zMTYzZTljOWZmNjE4YzUwYThkOGE5ZjYwMDUzYTM2ODM5ODVlMzUxL21hY2QuYjY0Cg 详细分析请参考:供应链投毒预警 | 恶意 Py 包仿冒 tensorflow AI 框架实施后门投毒攻击DNS 查询外传敏感信息该攻击方式是一种较为隐蔽的信息窃取手法,通常在包管理器安装或者加载投毒包时自动执行用于收集受害者系统敏感数据的 悬镜供应链安全情报中心将持续监测全网主流开源软件仓库,对潜在风险的开源组件包进行动态跟踪和溯源,实现快速捕获开源组件投毒攻击事件并第一时间提供精准安全预警。
76210编辑于 2024-03-02- 来自专栏SAP最佳业务实践
mySAP 供应链管理-成功故事3
SAP高级计划优化器与SAP R/3系统的紧密集成即实现了供应链的一体化管理,同时也确保了全球企业内的精确计划数据计算。 "SAP R/3系统和SAP高级计划优化器的紧密集成为我们公司确立了决定性的优势。" ------Klaus Godzik博士,供应链项目主管 "SAP R/3系统和SAP高级计划优化器的紧密集成为我们公司确立了决定性的优势。" 更有效的集成,更快的速度 "主要优势在于SAP高级计划优化器能和SAP R/3系统完美的结合。"项目主管Klaus Godzik博士说,"他们的联合赋予了我们更广泛的功能以实现更为高效的供应链管理。 "主要优势在于SAP高级计划优化器能和SAP R/3系统完美的结合起来,他们的联合赋予了我们更广泛的功能以实现更为高效的供应链管理。"
79580发布于 2018-03-27 - 来自专栏云云众生s
开源安全供应链走向成熟的2023年
事实上,它与现代开发那么交织在一起,以至于代码所有者通常不知道自己软件中的开源组件。" 唉。 正如Synopsys报告的那样,"确保软件供应链安全的第一步是管理应用程序中的开源和第三方代码。 如果您无法有效管理和确保开源和第三方软件的安全性,那么为确保供应链安全所做的任何其他努力都将失效 - 或者坦率地说,甚至无关紧要。" Synopsys没有说错。 虽然2023年的大部分主要安全改进都是针对软件供应链的,但还有其他重大进展。其中之一是漏洞利用可能性交换(VEX)及其开源实现OpenVEX的兴起。 开发者安全公司Snyk在其2023年软件安全调查中发现,尽管针对开源代码的网络攻击数量创历史新高,但40%的受访者仍然不使用关键的供应链安全技术。 当然,公司知道存在问题,但Synk发现他们正在特殊的基础上解决供应链安全问题。只有一半的公司有正式的供应链安全策略。 我们在2024年的安全任务很清晰。
38810编辑于 2024-03-28 - 来自专栏SDNLAB
开源软件的供应链是否存在安全风险?
去年发生了一些令人震惊的攻击,这使得开源软件供应链的安全性备受质疑。 那么,这是否意味着开源软件可以安全地再次使用? 答案是不完全是,企业为了更好地保护自己,需要了解开源软件供应链的工作原理,我们生活中几乎所有的设备都包含一个嵌入式开源软件和运行时库的复杂系统。 不幸的是,要理解别人上传的软件非常困难,人们可能会恶意地改变供应链中的数据包或库。 无论你在开源供应链中的角色如何,如果我们要防范未来的攻击,必须对安全性给予更多的关注。安全专业人员通过默默无闻的方式熟悉安全性,他们错误地认为,如果软件很难理解,就很难发起攻击。 去年的攻击表明,通过滥交(将开放源代码无管理地纳入软件供应链)带来的不安全感是我们面临的新的问题。
1.1K50发布于 2018-06-11 - 来自专栏深度学习与python
如何保护你的开源项目免遭供应链攻击
如果你是一个开源维护者,当你了解了项目的攻击面以及项目整个供应链的威胁载体,你可能会感到不知所措,甚至觉得无法克服。好消息是,2021 年也是供应链安全解决方案年。 虽然还有很多工作要做,现有的解决方案也有很大的改进空间,但已经可以对项目进行预防性控制,以强化供应链,免受安全威胁。 本文最初发表于谷歌开源博客,由 InfoQ 中文站翻译并分享。 本文介绍了相关问题、答案和预防选项,如果你想保护自己的开源项目免受供应链攻击,那么这是一份不错的初级指南。 问题 3:如何保护 CI/CD 管道使用的秘密? 1. 答:使用一个秘密管理工具 2. 指派一名维护人员控制对秘密的访问 3. 将秘密保存为环境变量 4. 开源项目安全性的相关资源: SLSA:一个供应链安全等级框架 Scorecards:安全最佳实践应用评价工具 Allstar:一个确保采用安全最佳实践的 GitHub 应用 Open Source Insights
88330编辑于 2022-04-19 - 来自专栏FreeBuf
为强化软件供应链安全,谷歌启动GUAC开源项目
10月20日,Google宣布正在为名为Graph for Understanding Artifact Composition(GUAC)的开源项目寻找感兴趣的贡献者,以此进一步强化软件供应链安全。 谷歌Brandon Lum、Mihai Maruseac 和 Isaac Hepworth称,GUAC开源项目将可以解决整个生态系统中迅速发展的工作所产生的需求,以生成软件构建、安全和依赖元数据。 GUAC旨在让每个组织都可以只有访问和调用这些信息,正在发挥开源的共享和民主的特性。 谷歌多手段强化供应链安全 在启动GUAC开源项目之前,谷歌在供应链安全方面已经有了多个动作。 支撑此架构的数据来自Sigstore、GitHub、开源漏洞( OSV )、Grype和Trivy等,以在漏洞、项目、资源、开发人员、工件和存储库之间建立有意义的关系。
51130编辑于 2022-11-14 - 来自专栏OpenSCA
供应链投毒预警 | 开源供应链投毒202404月报发布(含投毒案例分析)
概述悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库,结合程序动静态分析方式对潜在风险的开源组件包进行动态跟踪和捕获,发现大量的开源组件恶意包投毒攻击事件。 在2024年4月份,悬镜供应链安全情报中心在NPM官方仓库(https://www.npmjs.com/)和Pypi官方仓库(https://pypi.org/)上共捕获772个不同版本的恶意组件包,其中 相较于3月份,针对数字钱包应用的攻击有较大幅度减少。投毒案例分析本节将从4月份捕获的开源组件恶意包中选取部分具有代表性的投毒样本进行分析、还原投毒攻击细节。 这些恶意包具有相同的攻击代码以及相同的高版本号(99.0),可推断攻击者尝试进行包依赖混淆(Dependency Confusion)供应链投毒。 悬镜供应链安全情报中心在Pypi官方仓库中捕获14个伪装http客户端开展CStealer窃密后门攻击的投毒包,涉及multiplerequests、multihttp以及multihttps。
1.1K10编辑于 2024-05-21 - 来自专栏FreeBuf
重大供应链威胁!这个 Java 开源框架存在严重漏洞
美国网络安全和基础设施安全局(CISA)的安全研究人员报告称,一个受广泛使用的开源Java框架中存在严重漏洞并被攻击者利用,以向未打补丁的服务器部署后门。 专家表示,这种情况可能会对未打补丁的软件构成重大供应链威胁。 供应链面临风险 当Huntress对该漏洞进行分析时,没有证据表明存在主动利用的情况。 这对攻击者来说无疑是利好的,同时这可能给供应链带来重大风险。
59410编辑于 2023-03-29 - 来自专栏python3
开源组件:(3)dbutils
commons-dbutils 是 Apache 组织提供的一个开源JDBC工具类库,它是对JDBC的简单封装,学习成本极低,并且使用dbutils能极大简化jdbc编码的工作量,同时也不会影响程序的性能 param) //描述:Execute an SQL INSERT, UPDATE, or DELETE query with a single replacement parameter. (3) This Connection must be in auto-commit mode or the update will not be saved. (3)public int update(String throw new RuntimeException(e); } finally { DbUtils.closeQuietly(conn); } } @Test // 3) ) { throw new RuntimeException(e); } finally { DbUtils.closeQuietly(conn); } } } 3.
79230发布于 2020-01-06 - 来自专栏FreeBuf
3CX 遭遇“套娃”式供应链攻击
近期,针对 3CX 供应链攻击事件炒的沸沸扬扬,谷歌旗下 Mandiant 追踪分析这起网络攻击事件,最终发现此次攻击是一起“套娃”式软件供应链攻击。 2023 年 3 月 29,网络安全研究人员发现针对 3CX 的“套娃”式供应链攻击。 攻击者利用 SIGFLIP 和 DAVESHELL 等开源工具,提取并执行 VEILEDSIGNAL(VEILEDSIGNAL 是一个用 C 语言编写的多阶段模块化后门,能够发送数据,执行 shellcode 除确定了受损的 X_TRADER 和 3CXDesktopApp 应用程序之间的战术相似性外,Mandiant 还发现威胁攻击者随后在 3CX 环境中进行了横向移动,破坏了其 Windows 和macOS 此外,公司成立一个新的网络运营和安全部门,最大限度地降低软件供应链中嵌套软件攻击的风险。
71130编辑于 2023-05-12 - 来自专栏绿盟科技研究通讯
开源软件供应链安全系列:OSS风险点与预防
软件供应链安全包括两部分,一是引入的开源组件包中存在漏洞,二是引入的开源组件包中存在攻击者精心制作的恶意代码。 许可证修改风险[3]:React是前端开发中常用的开发框架,虽然开源但其背后由Facebook公司主导维护。 开源软件供应链安全防护措施 目前这两年针对软件供应链的产品逐渐完善,形成针对各个流程的安全防护手段,下面主要概述针对开源软件供应链攻击的防护措施。 软件供应链安全的防护需要所有环节的人员去共同维护,攻击者需要找到链条中单一弱点即可,而防御者需要覆盖整个攻击面。 2. 应提升所有环节人员的安全意识,从根本上解决安全问题。 3. 开源软件供应链安全研究综述. *软件学报*, 0-0. 3. CodeWisdom.技术科普:浅谈开源软件供应链风险.
1.8K20编辑于 2023-02-22 - 来自专栏数商云贸
供应链断裂风险加剧,3C数码企业如何增强供应链可持续性?
综上,现在3C数码行业面临的是多品种、多批次、小批量、短交期、定制化、更新快的市场需求形态,在此种市场背景下应该如何构建有利的合作供应链平台,怎样增强供应链的可持续性是每个企业领导者都在思考的问题。 对此,全链数字化运营服务提供商数商云在调研走访了多家3C数码公司后,给出了关于供应链建设的一些专业见解。 建设数字化供应链,提高企业管理效率 在竞争日趋激烈的市场环境中,提高3C数码企业管理供应链的精细度、敏捷度,尽可能的缩短响应时长显得尤为重要。 对于大多数3C数码企业而言,快速自建一个专业高效的供应链管理平台并不容易。 大数据赋能供应链管理,助力产业优化升级 随着当前数据共享技术的实施与普及,大数据时代的到来,注定会影响到每一个3C数码企业,带来无限的商机。
46840发布于 2021-08-10 - 来自专栏汇智网教程
基于超级账本Fabric的供应链跟踪解决方案【开源】
本项目为基于Hyperledger Fabric区块链的供应链资产跟踪解决方案,项目主要包括链码和Web应用两部分。 3、读写账本的操作在Fabric中被称为提议(Proposal),由Node.js应用负责生成提议并发送给Fabric区块链的对等节点(Peer)。
1.5K30发布于 2019-03-29 - 来自专栏DrugOne
Google DeepMind 开源 AlphaFold 3
DRUGAI 谷歌DeepMind宣布将其最新的蛋白质结构预测模型AlphaFold3开源,以支持非商业用途。 科学影响:开源AlphaFold3的意义 AlphaFold3的开源发布预计将在蛋白质结构预测和生物医学研究领域产生深远影响。 此次AlphaFold3的开源发布回应了这些需求,也体现了AI工具在生物学领域的规范要求。 未来影响:开放科学与商业利益的平衡 AlphaFold3的开源发布引发了学术界对商业利益与开放科学之间平衡的讨论。 未来,AlphaFold3的实际应用和影响将逐步显现,这一开源发布或将引领AI在生物研究和创新生态中的全新发展。
42110编辑于 2024-11-23 - 来自专栏机器人网
2016年机器人产业3大供应链趋势
未来工厂就在转角处,2016年的这三大供应链趋势将会把我们带到那里。 1、对自动化和机器人更加依赖 工业周刊(Industry week)报道,2016年会有“更多人们定制化的自动化。” 随着仓库成本压力和供应链复杂性的增加,运营商发现技术越来越先进,自动化可以提供更灵活的运输解决方案。例如OTTO的解决方案,可以提供工厂内的自由导航,实现物料运输的无限灵活。 3、服务链将变得比产品链更重要 供应链是由组织、人、活动、信息和资源组成的系统一起完成产品的转移,而产品链则是把原材料变成成品的过程。未来十年内,服务链将变得比产品链更重要,尽管这已经成为了现实。 一个完整的解决方案包括硬件、软件和服务,以提供持续的支持和供应链中真正的业务关系。 如果您觉得本文有用,请点击右上角“…”扩散!
62160发布于 2018-04-20 - 来自专栏智药邦
AlphaFold3现已开源!
2024年11月11日,DeepMind宣布,AI蛋白质预测工具AlphaFold3现已开源。这一获得诺贝尔奖的蛋白质结构建模工具的基础代码现在可供学术界下载。 AlphaFold3终于开源了。 DeepMind迅速改弦更张,表示将在半年内提供该工具的开源版本。 现在,任何人都可以下载AlphaFold3软件代码,并将其用于非商业目的。 可访问版本 DeepMind也有竞争对手:在过去几个月里,几家公司基于AlphaFold3发布了开源蛋白质结构预测工具。 其他团队正在开发没有这些限制的AlphaFold3版本:AlQuraishi希望在今年年底前推出完全开源的模型OpenFold3。 开放性很重要 DeepMind的人工智能科学负责人Pushmeet Kohli说,AlphaFold3已经出现了多个复制结果,这表明即使没有开源代码,该模型也是可以复制的。
46010编辑于 2024-11-12 - 来自专栏点云PCL
【开源方案共享】ORB-SLAM3开源啦!
,实验表明,在所有的传感器配置中,ORB-SLAM3与文献中可用的最好的系统一样健壮,并且更精确。 为了社区的利益,我们公开了源代码 https://github.com/UZ-SLAMLab/ORB_SLAM3 内容简介 ? 所有这些创新之外,再加上一些代码改进,使ORB-SLAM3成为新的可以参考的视觉和视觉惯导的开源SLAM库,与文献中可用的最好的开源系统一样健壮,并且更加精确。 ORB-SLAM3是一个完整的多地图系统,能够在纯视觉或视觉惯性模式下工作,使用单目、立体或RGB-D传感器,使用针孔和鱼眼相机模型。 在[2]-[4]的基础上,我们推出了ORB-SLAM3,这是一个最完整的可视化、视觉惯性和多地图的SLAM开源库,配备了单目、立体、RGB-D、针孔和鱼眼摄像头。
1.8K10发布于 2020-07-28 - 来自专栏AI算法能力提高班
StableDiffusion3今日开源 | 首个开源超越Midjourney
⚡[AI里程碑]StableDiffusion3今日开源 | 首个开源超越Midjourney 2024年6月12日,Stable Diffusion 3 Medium的开源代表了生成式 AI 发展的一个重要里程碑 Stable Diffusion 3 先睹为快 Stable Diffusion 3 开源亮点 Stable Diffusion 3 Medium 是 Stability AI 迄今为止最先进的文本到图像开放模型 Stable Diffusion 3 网络架构 Stable Diffusion 3 (SD3) 是一种文本到图像模型,由 Stability AI 于 2024 年 6 月 12 日发布。 (9.5 GB) Stable Diffusion 3 许可注意事项 SD3 有许可证注意事项! Stable Diffusion 3 免费试用 SD3 https://huggingface.co/stabilityai/stable-diffusion-3-medium SD3 + tensorrt
90510编辑于 2024-06-14 - 来自专栏深度学习与python
从 10 万 npm 用户信息被窃看开源软件供应链安全
作者 | 赵钰莹 如今,所有热爱开源的开发者可能都心怀担忧:开源软件的供应链安全问题如何解决? 3、在 2022 年 2 月份,NIST 发布《软件供应链安全指南》,其中核心要求: 软件开发者应实施并证明采用了安全软件开发实践; 安全开发环境; 自动化工具确保代码完整性; 自动化工具检查漏洞; 4 具体为: 《软件供应链安全保障基本要求》 中国通信标准化协会标准 开源软件合规性问题解答 InfoQ:开源协议及其基金会在整个开源软件供应链中扮演着一个什么样的角色,他们具体能解决哪些问题? Gavin:站在软件供应链安全的角度,开源只是其中一部分,但目前绝大多数安全事件都是因为开源软件导致的,所以大家潜移默化会把软件供应链安全与开源软件漏洞紧密结合起来。 InfoQ:目前在整个开源软件供应链里面最常见的法律合规性的问题是什么?企业应该怎么应对这些问题?
65010编辑于 2023-03-29
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号