- 综合排序
- 最热优先
- 最新优先
- 来自专栏旅途散记
谷歌的开源供应链安全
今天的演讲主题是Google的开源供应链安全。首先,让我们了解一下“供应链安全”到底是什么意思。通常,当我们谈论供应链安全时,是指针对供应链攻击的工程防御。现在,我们需要定义什么是供应链攻击。 译者备注: XcodeGhost源码地址[4] 相关报道[5] 苹果手机病毒感染事件——震惊业界的 XcodeGhost[6] XcodeGhost风波[7] 再进一步的例子包括 瞻博网络[8](Juniper copay是开源的,但事件流是开源的,所以这是一个开源供应链攻击。代码在两个半月的时间里都没有被发现,你知道攻击者是如何开展行动的? xpdf 中的问题是一项错误,log4j中的问题是一个功能,他们都不是恶意的,但是都是供应链的重要组成部分.因此让我们扩大供应链漏洞的定义,将开源供应链漏洞定义为由开源组件引起的可信软件中的可利用弱点。 现在我们可以将开源供应链安全定义为防御开源供应链攻击和开源供应链漏洞的工程。
61610编辑于 2023-12-19 供应链投毒预警 | 开源供应链投毒202401最新月报来啦!
概述悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库,结合程序动静态分析方法对潜在风险的开源组件包进行分析和监测,捕获大量开源组件恶意包投毒攻击事件。 2024 年 1 月份,悬镜供应链安全情报中心在 Npm 官方仓库(https://www.npmjs.com/)和 Pypi 官方仓库(https://pypi.org/)上共捕获 675 个不同版本的恶意投毒包 Base64 编码的恶意代码 url 为:aHR0cHM6Ly9naXN0LmdpdGh1Yi5jb20vS2FyYXZheWV2QWxleGVpL2JkZjRmOWUyODA3MTRkODczMDNkNDkwOWQxOWRlM2E3L3Jhdy8zMTYzZTljOWZmNjE4YzUwYThkOGE5ZjYwMDUzYTM2ODM5ODVlMzUxL21hY2QuYjY0Cg 详细分析请参考:供应链投毒预警 | 恶意 Py 包仿冒 tensorflow AI 框架实施后门投毒攻击DNS 查询外传敏感信息该攻击方式是一种较为隐蔽的信息窃取手法,通常在包管理器安装或者加载投毒包时自动执行用于收集受害者系统敏感数据的 悬镜供应链安全情报中心将持续监测全网主流开源软件仓库,对潜在风险的开源组件包进行动态跟踪和溯源,实现快速捕获开源组件投毒攻击事件并第一时间提供精准安全预警。
76210编辑于 2024-03-02- 来自专栏工业科技1
工业互联网的供应链创新——供应链+5G 技术
5G 技术作为新一代无线网络技术,具备大带宽、低时延和海量联接的特点,结合人工智能、大数据等技术,可以为供应链带来突飞猛进的发展,当前已经在智能物流园区、自动驾驶、车路协同、物流追踪可视化、智能工厂、智能仓储等应用场景产生了众多创新 ,推动传统供应链转型升级。 供应链+5G 技术的应用 • 5G+智能物流的应用价值:5G+云化部署、多车有序协同、助力柔性生产、保障安全生产 • 5G+协同制造的应用价值:5G+MEC 替代传统工业 WiFi 和工业以太网;采用连接 通过5G+AR 技术,对设备的运行、点检巡检进行作业指导,提供流程化服务。 相比传统供应链,基于工业互联网的供应链具有连接、智能、灵活、迅捷、协同等属性。 在设计、计划、采购、制造、运输、协同等供应链主要环节,基于工业互联网的供应链和传统供应链具有显著差异。
95020发布于 2021-08-11 - 来自专栏云云众生s
开源安全供应链走向成熟的2023年
在欧盟(EU),网络弹性法案(CRA)正在迅速要求软件在24小时内披露软件漏洞,并提供至少5年的补丁支持保证。 CRA的最新版本对开源软件有所放松。 事实上,它与现代开发那么交织在一起,以至于代码所有者通常不知道自己软件中的开源组件。" 唉。 正如Synopsys报告的那样,"确保软件供应链安全的第一步是管理应用程序中的开源和第三方代码。 如果您无法有效管理和确保开源和第三方软件的安全性,那么为确保供应链安全所做的任何其他努力都将失效 - 或者坦率地说,甚至无关紧要。" Synopsys没有说错。 虽然2023年的大部分主要安全改进都是针对软件供应链的,但还有其他重大进展。其中之一是漏洞利用可能性交换(VEX)及其开源实现OpenVEX的兴起。 开发者安全公司Snyk在其2023年软件安全调查中发现,尽管针对开源代码的网络攻击数量创历史新高,但40%的受访者仍然不使用关键的供应链安全技术。
38810编辑于 2024-03-28 - 来自专栏SDNLAB
开源软件的供应链是否存在安全风险?
去年发生了一些令人震惊的攻击,这使得开源软件供应链的安全性备受质疑。 那么,这是否意味着开源软件可以安全地再次使用? 答案是不完全是,企业为了更好地保护自己,需要了解开源软件供应链的工作原理,我们生活中几乎所有的设备都包含一个嵌入式开源软件和运行时库的复杂系统。 不幸的是,要理解别人上传的软件非常困难,人们可能会恶意地改变供应链中的数据包或库。 无论你在开源供应链中的角色如何,如果我们要防范未来的攻击,必须对安全性给予更多的关注。安全专业人员通过默默无闻的方式熟悉安全性,他们错误地认为,如果软件很难理解,就很难发起攻击。 去年的攻击表明,通过滥交(将开放源代码无管理地纳入软件供应链)带来的不安全感是我们面临的新的问题。
1.1K50发布于 2018-06-11 - 来自专栏深度学习与python
如何保护你的开源项目免遭供应链攻击
如果你是一个开源维护者,当你了解了项目的攻击面以及项目整个供应链的威胁载体,你可能会感到不知所措,甚至觉得无法克服。好消息是,2021 年也是供应链安全解决方案年。 虽然还有很多工作要做,现有的解决方案也有很大的改进空间,但已经可以对项目进行预防性控制,以强化供应链,免受安全威胁。 本文最初发表于谷歌开源博客,由 InfoQ 中文站翻译并分享。 本文介绍了相关问题、答案和预防选项,如果你想保护自己的开源项目免受供应链攻击,那么这是一份不错的初级指南。 问题 5:如何避免构建过程中的破坏? 1. 答:将构建定义和配置定义为代码,如 build.yaml 2. 使构建过程尽快完成,让攻击者没有时间破坏你的代码 3. 开源项目安全性的相关资源: SLSA:一个供应链安全等级框架 Scorecards:安全最佳实践应用评价工具 Allstar:一个确保采用安全最佳实践的 GitHub 应用 Open Source Insights
88330编辑于 2022-04-19 - 来自专栏用户8925857的专栏
供应链状态更新与5G的影响
另一个支撑市场的因素是5G技术的推出。华为在这方面处于世界领先地位,原本预计会在今年第二季度末发布5G技术,但事实上并没有发生。 用户将不得不重新设计那些零部件,否则他们将经历交货期过长和高昂的价格,而这正是由5G基础设施造成的。 我们关注5G技术,因为5G一旦启动,它首先会从中国开始,然后是欧洲和美国,全世界的电信公司都将更换基础设施。紧接着,每个人,包括我自己,都会换新手机,这样我们就能获得这项全新的、出色的技术。 Johnson: 我记得,你提到一些与过去不一样的事情,例如,将在中国率先推出5G。在过去,这类产品往往在欧洲率先推出。 这也导致华为5G的延期,而我认为这正是华为没有按计划推出5G的部分原因。同样的情况也发生在安卓系统上;华为被迫开发自己的系统。目前,我们从供应商那里得到的消息是,5G将在中国率先推出,紧接着是欧洲。
75530编辑于 2022-09-27 - 来自专栏FreeBuf
为强化软件供应链安全,谷歌启动GUAC开源项目
10月20日,Google宣布正在为名为Graph for Understanding Artifact Composition(GUAC)的开源项目寻找感兴趣的贡献者,以此进一步强化软件供应链安全。 谷歌Brandon Lum、Mihai Maruseac 和 Isaac Hepworth称,GUAC开源项目将可以解决整个生态系统中迅速发展的工作所产生的需求,以生成软件构建、安全和依赖元数据。 GUAC旨在让每个组织都可以只有访问和调用这些信息,正在发挥开源的共享和民主的特性。 谷歌多手段强化供应链安全 在启动GUAC开源项目之前,谷歌在供应链安全方面已经有了多个动作。 支撑此架构的数据来自Sigstore、GitHub、开源漏洞( OSV )、Grype和Trivy等,以在漏洞、项目、资源、开发人员、工件和存储库之间建立有意义的关系。
51130编辑于 2022-11-14 - 来自专栏OpenSCA
供应链投毒预警 | 开源供应链投毒202404月报发布(含投毒案例分析)
概述悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库,结合程序动静态分析方式对潜在风险的开源组件包进行动态跟踪和捕获,发现大量的开源组件恶意包投毒攻击事件。 在2024年4月份,悬镜供应链安全情报中心在NPM官方仓库(https://www.npmjs.com/)和Pypi官方仓库(https://pypi.org/)上共捕获772个不同版本的恶意组件包,其中 投毒案例分析本节将从4月份捕获的开源组件恶意包中选取部分具有代表性的投毒样本进行分析、还原投毒攻击细节。 这些恶意包具有相同的攻击代码以及相同的高版本号(99.0),可推断攻击者尝试进行包依赖混淆(Dependency Confusion)供应链投毒。 系统屏幕截屏5.
1.1K10编辑于 2024-05-21 - 来自专栏FreeBuf
重大供应链威胁!这个 Java 开源框架存在严重漏洞
美国网络安全和基础设施安全局(CISA)的安全研究人员报告称,一个受广泛使用的开源Java框架中存在严重漏洞并被攻击者利用,以向未打补丁的服务器部署后门。 专家表示,这种情况可能会对未打补丁的软件构成重大供应链威胁。 总部位于德国的安全厂商Code White GmbH的一名研究人员率先发现了CVE-2022-36537,并在2022年5月向ZK Java Web框架的维护者报告。 供应链面临风险 当Huntress对该漏洞进行分析时,没有证据表明存在主动利用的情况。 这对攻击者来说无疑是利好的,同时这可能给供应链带来重大风险。
59410编辑于 2023-03-29 - 来自专栏数商云网络
供应链平台5个层次解析:原始-初级-整合-智慧
分别是原始供应链、初级供应链、整合供应链、协同供应链和智慧供应链: 驱动原始供应链升级到初级供应链的核心,是专业化的职能分工 驱动初级供应链升级到整合供应链的核心,是跨部门的流程构建 驱动整合供应链升级到协同供应链的核心 ,是供应链上的领导力 驱动协同供应链升级到智慧供应链的核心,是新技术的应用能力 一、原始供应链 并不仅仅出现在原始社会 供应链是什么时候出现的,恐怕要追溯到远古时代了。 二、初级供应链 “吵架”是最重要的生存技能 “初级供应链管理形态”简称“初级供应链”。 三、整合供应链 糖葫芦得串起来吃 “整合级供应链管理形态”简称“整合供应链”。 我们可以总结如下: 驱动原始供应链升级到初级供应链的核心,是专业化的职能分工 驱动初级供应链升级到整合供应链的核心,是跨部门的流程构建 驱动整合供应链升级到协同供应链的核心,是供应链上的领导力 驱动协同供应链升级到智慧供应链的核心
3.3K31发布于 2020-03-20 - 来自专栏SDNLAB
Edge Computing遇到5G:重新思考智能供应链
现在,随着5G网络的兴起,边缘计算有望再次获得成功。网络的改变使专有网络更易于访问,为小型制造商扩展供应链带来新的可能性。 ? 近边缘与远边缘 ? 实际上,in-transit的用例很快成为供应链中工业物联网(IIoT)部署的关键领域。 5G的影响 ? 优化供应链和连通性对充分发挥边缘计算的潜力至关重要。 那么5G将如何改变供应链的价值方程?一个巨大潜力的领域是in-transit应用。能够在供应链的各个阶段实时收集和分析数据,具有提高入站和出站运输效率的巨大潜力。 通过这种方式,边缘计算和5G网络可以弥合供应链中的一个最大的差距——生产者和消费者之间的分离。营销网络越复杂,制造商就越难以评估消费者的需求。 具有集成5G连接功能的类似设备边缘平台的出现使得规模较小,技术较少的复杂供应商变得简单且经济高效,从而创建真正智能的端到端供应链。
69440发布于 2019-05-07 - 来自专栏绿盟科技研究通讯
开源软件供应链安全系列:OSS风险点与预防
软件供应链安全包括两部分,一是引入的开源组件包中存在漏洞,二是引入的开源组件包中存在攻击者精心制作的恶意代码。 开源软件供应链安全攻击风险点 开源软件除了引入漏洞等不安全因素,在使用的过程中还包含人为攻击的各种风险点。 开源软件供应链安全防护措施 目前这两年针对软件供应链的产品逐渐完善,形成针对各个流程的安全防护手段,下面主要概述针对开源软件供应链攻击的防护措施。 5. 对所有引入代码、开发人员不可信,对依赖的开源代码、开发代码多次扫描,防止投毒、漏洞的引入,甚至是内部人员的恶意攻击。 6. 使用者应从官网下载代码,并根据自己需求,审查许可信息。 开源软件供应链安全研究综述. *软件学报*, 0-0. 3. CodeWisdom.技术科普:浅谈开源软件供应链风险.
1.8K20编辑于 2023-02-22 - 来自专栏汇智网教程
基于超级账本Fabric的供应链跟踪解决方案【开源】
本项目为基于Hyperledger Fabric区块链的供应链资产跟踪解决方案,项目主要包括链码和Web应用两部分。 5、Node.js应用会将背书过的提议发送给Farbic区块链的排序节点(Orderer),排序节点负责将整个网络上的多个提议打包并生成新的区块,然后广播给所有的对等节点。
1.5K30发布于 2019-03-29 - 来自专栏自然语言处理
5个开源RAG框架对比
别急,今天给大家推荐五款完全开源免费的RAG框架,覆盖自动优化、多模态处理、本地部署、生产环境支持等多种场景,助你轻松搞定RAG开发! 1. https://github.com/truefoundry/cognita 5. LLMWare:轻量专业,企业必备 核心优势:小型专业模型,轻量又高效!
3.7K11编辑于 2024-12-31 - 来自专栏新零售项目实践
供应链架构与工程化篇 | 深度配置 Webpack5 为供应链模块化开发提速
本文将从实战出发,深度剖析如何为电商供应链系统配置Webpack5,实现从"分钟级构建"到"秒级响应"的蜕变。 这不仅是技术参数的调整,更是工程思维的升级:从单体构建到联邦模块,从同步加载到智能预取,从通用配置到供应链定制优化。我们将让Webpack5成为供应链前端开发的"涡轮增压引擎"。 60,//5分钟},},},{urlPattern:/\. 1MB内,加载性能提升300%开发体验革命:智能缓存、并行构建、模块联邦、供应链专用工具链,让开发效率提升5倍以上供应链场景适配:针对采购、仓储、配送、库存等业务模块的深度优化,PDA设备支持,离线包生成关键技术收获 :Webpack5高级特性:掌握持久化缓存、模块联邦、资源模块、TreeShaking深度优化供应链定制优化:学会针对大型业务系统的构建优化策略,包括智能代码分割、并行处理、内存管理性能分析与监控:建立完整的构建性能监控体系
16720编辑于 2026-04-12 - 来自专栏深度学习与python
从 10 万 npm 用户信息被窃看开源软件供应链安全
作者 | 赵钰莹 如今,所有热爱开源的开发者可能都心怀担忧:开源软件的供应链安全问题如何解决? 、2022 年 5 月中旬,由 Linux 基金会与开源安全基金会举办了开源软件安全峰会,集结多家科技巨头的高层主管,以及美国白宫等多个联邦机关官员参会,这次会议具体指出将解决开源软件的十大挑战,同时这些科技巨头也承诺 本次峰会进一步指出开源软件十大问题: 安全教育 风险评估 数字签名 内存安全 安全应变 强化扫描能力 程序代码审核 数据分享 软件物料清单 SBOM 供应链改善 二、欧洲方面: 2021 年 5 月,英国政府宣布 具体为: 《软件供应链安全保障基本要求》 中国通信标准化协会标准 开源软件合规性问题解答 InfoQ:开源协议及其基金会在整个开源软件供应链中扮演着一个什么样的角色,他们具体能解决哪些问题? Gavin:站在软件供应链安全的角度,开源只是其中一部分,但目前绝大多数安全事件都是因为开源软件导致的,所以大家潜移默化会把软件供应链安全与开源软件漏洞紧密结合起来。
65010编辑于 2023-03-29 - 来自专栏刘旷专栏
卓胜微:华为背后神秘的5G供应链巨头
作为华为供应链之中的一员,已经是国内5G龙头企业,甚至在华为遭遇“卡脖子”之后,不少人表示如果谁能找到下一个卓胜微就牛了。虽然有玩笑的成分在其中,但卓胜微的实力也可见一斑。 而在5月31日,卓胜微发布公告,拟定增30亿元用于投入高端射频滤波器芯片生产线等项目。 而卓胜微在5G基站领域的布局,也同样充满了不得已的意味。 5G很紧迫 新基建带动的5G蓬勃发展,也让卓胜微充满了紧迫感,不得不进行大力投资。 中国是5G基站建设覆盖面最大的国家,2020年2月,国家强调推动5G网络、工业互联网等加快发展,多地政府也立即响应将加快5G建设推进。 去年上市的卓胜微,在不到一年的时间里,成功打入华为供应链,成为A股市场中的芯片热门股,还被众多投资者称为“科技茅台”。 但是责任总是伴随着能力而来。
98830发布于 2020-06-08 - 来自专栏全栈程序员必看
推荐5款开源报表工具下载_开源报表系统
小编最近发现几款不错的开源报表,还提供源码,现在给大家分享一下,希望能给你带来帮助! 1、项目名称: 积木报表 项目简介:积木报表,免费的企业级WEB报表工具。 UReport2是第一款基于Apache-2.0协议开源的中式报表引擎。 项目地址:https://gitee.com/luob/reportico 5、项目名称: ECharts 项目简介:ECharts 是一款由百度前端技术部开发的,基于 Javascript 的数据可视化图表库
3.9K20编辑于 2022-11-01 - 来自专栏我的小碗汤
Kubernetes Top5 开源存储项目
在本文中,我将向您介绍排名前五的开源云原生存储供应商。 首先,让我们发现开源存储解决方案的多重优势。 为什么需要 Kubernetes 的开源存储? 与传统专有的、以供应商为中心的 IT 工具不同,云原生生态系统都是关于社区驱动的开源项目。这也适用于存储。强大的开源工具使使用 Kubernetes 管理持久数据成为可能,甚至变得简单! 现在让我们来看看您可以在业务中使用的 Top 5 开源存储解决方案。 5 个开源存储 Kubernetes 项目 1. 5. LongHorn LongHorn 是一个开源的、轻量级的 Kubernetes分布式块存储框架。它将您的块存储分成 LongHorn 卷。 这之前是高度可用的RWX 存储[5]、增强的 API 和额外的存储网络支持。 最后的想法 如果您正在使用 Kubernetes 以云原生方式管理基础架构和应用程序,那么您还需要云原生方式来存储。
1.5K30编辑于 2023-03-19
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号