- 综合排序
- 最热优先
- 最新优先
- 来自专栏旅途散记
谷歌的开源供应链安全
今天的演讲主题是Google的开源供应链安全。首先,让我们了解一下“供应链安全”到底是什么意思。通常,当我们谈论供应链安全时,是指针对供应链攻击的工程防御。现在,我们需要定义什么是供应链攻击。 译者备注: XcodeGhost源码地址[4] 相关报道[5] 苹果手机病毒感染事件——震惊业界的 XcodeGhost[6] XcodeGhost风波[7] 再进一步的例子包括 瞻博网络[8](Juniper copay是开源的,但事件流是开源的,所以这是一个开源供应链攻击。代码在两个半月的时间里都没有被发现,你知道攻击者是如何开展行动的? xpdf 中的问题是一项错误,log4j中的问题是一个功能,他们都不是恶意的,但是都是供应链的重要组成部分.因此让我们扩大供应链漏洞的定义,将开源供应链漏洞定义为由开源组件引起的可信软件中的可利用弱点。 现在我们可以将开源供应链安全定义为防御开源供应链攻击和开源供应链漏洞的工程。
61610编辑于 2023-12-19 供应链投毒预警 | 开源供应链投毒202401最新月报来啦!
概述悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库,结合程序动静态分析方法对潜在风险的开源组件包进行分析和监测,捕获大量开源组件恶意包投毒攻击事件。 2024 年 1 月份,悬镜供应链安全情报中心在 Npm 官方仓库(https://www.npmjs.com/)和 Pypi 官方仓库(https://pypi.org/)上共捕获 675 个不同版本的恶意投毒包 详细分析请参考:供应链投毒预警 | 恶意 Py 包仿冒 tensorflow AI 框架实施后门投毒攻击DNS 查询外传敏感信息该攻击方式是一种较为隐蔽的信息窃取手法,通常在包管理器安装或者加载投毒包时自动执行用于收集受害者系统敏感数据的 https://1f2a857a-7153-42a6-8363-becc7ed94b49-00-1vtxb7rs21ezi.spock.replit.dev/download排查方式截至目前,大部分恶意投毒包在国内主流镜像源中仍然可正常下载 悬镜供应链安全情报中心将持续监测全网主流开源软件仓库,对潜在风险的开源组件包进行动态跟踪和溯源,实现快速捕获开源组件投毒攻击事件并第一时间提供精准安全预警。
76210编辑于 2024-03-02- 来自专栏云云众生s
开源安全供应链走向成熟的2023年
事实上,它与现代开发那么交织在一起,以至于代码所有者通常不知道自己软件中的开源组件。" 唉。 正如Synopsys报告的那样,"确保软件供应链安全的第一步是管理应用程序中的开源和第三方代码。 如果您无法有效管理和确保开源和第三方软件的安全性,那么为确保供应链安全所做的任何其他努力都将失效 - 或者坦率地说,甚至无关紧要。" Synopsys没有说错。 虽然2023年的大部分主要安全改进都是针对软件供应链的,但还有其他重大进展。其中之一是漏洞利用可能性交换(VEX)及其开源实现OpenVEX的兴起。 开发者安全公司Snyk在其2023年软件安全调查中发现,尽管针对开源代码的网络攻击数量创历史新高,但40%的受访者仍然不使用关键的供应链安全技术。 当然,公司知道存在问题,但Synk发现他们正在特殊的基础上解决供应链安全问题。只有一半的公司有正式的供应链安全策略。 我们在2024年的安全任务很清晰。
38810编辑于 2024-03-28 - 来自专栏SDNLAB
开源软件的供应链是否存在安全风险?
去年发生了一些令人震惊的攻击,这使得开源软件供应链的安全性备受质疑。 那么,这是否意味着开源软件可以安全地再次使用? 答案是不完全是,企业为了更好地保护自己,需要了解开源软件供应链的工作原理,我们生活中几乎所有的设备都包含一个嵌入式开源软件和运行时库的复杂系统。 不幸的是,要理解别人上传的软件非常困难,人们可能会恶意地改变供应链中的数据包或库。 无论你在开源供应链中的角色如何,如果我们要防范未来的攻击,必须对安全性给予更多的关注。安全专业人员通过默默无闻的方式熟悉安全性,他们错误地认为,如果软件很难理解,就很难发起攻击。 去年的攻击表明,通过滥交(将开放源代码无管理地纳入软件供应链)带来的不安全感是我们面临的新的问题。
1.1K50发布于 2018-06-11 - 来自专栏深度学习与python
如何保护你的开源项目免遭供应链攻击
如果你是一个开源维护者,当你了解了项目的攻击面以及项目整个供应链的威胁载体,你可能会感到不知所措,甚至觉得无法克服。好消息是,2021 年也是供应链安全解决方案年。 虽然还有很多工作要做,现有的解决方案也有很大的改进空间,但已经可以对项目进行预防性控制,以强化供应链,免受安全威胁。 本文最初发表于谷歌开源博客,由 InfoQ 中文站翻译并分享。 本文介绍了相关问题、答案和预防选项,如果你想保护自己的开源项目免受供应链攻击,那么这是一份不错的初级指南。 问题 7:如何保证构建和你想的一样(即验证)? 1. 答:使用一个可以生成来源证明的构建服务 2. 检查最后一次提交,确保其来自可信任的提交者 3. 使用隐写术将项目标识嵌入构建中 4. 开源项目安全性的相关资源: SLSA:一个供应链安全等级框架 Scorecards:安全最佳实践应用评价工具 Allstar:一个确保采用安全最佳实践的 GitHub 应用 Open Source Insights
88330编辑于 2022-04-19 - 来自专栏FreeBuf
为强化软件供应链安全,谷歌启动GUAC开源项目
10月20日,Google宣布正在为名为Graph for Understanding Artifact Composition(GUAC)的开源项目寻找感兴趣的贡献者,以此进一步强化软件供应链安全。 谷歌Brandon Lum、Mihai Maruseac 和 Isaac Hepworth称,GUAC开源项目将可以解决整个生态系统中迅速发展的工作所产生的需求,以生成软件构建、安全和依赖元数据。 GUAC旨在让每个组织都可以只有访问和调用这些信息,正在发挥开源的共享和民主的特性。 谷歌多手段强化供应链安全 在启动GUAC开源项目之前,谷歌在供应链安全方面已经有了多个动作。 支撑此架构的数据来自Sigstore、GitHub、开源漏洞( OSV )、Grype和Trivy等,以在漏洞、项目、资源、开发人员、工件和存储库之间建立有意义的关系。
51130编辑于 2022-11-14 - 来自专栏OpenSCA
供应链投毒预警 | 开源供应链投毒202404月报发布(含投毒案例分析)
概述悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库,结合程序动静态分析方式对潜在风险的开源组件包进行动态跟踪和捕获,发现大量的开源组件恶意包投毒攻击事件。 在2024年4月份,悬镜供应链安全情报中心在NPM官方仓库(https://www.npmjs.com/)和Pypi官方仓库(https://pypi.org/)上共捕获772个不同版本的恶意组件包,其中 投毒案例分析本节将从4月份捕获的开源组件恶意包中选取部分具有代表性的投毒样本进行分析、还原投毒攻击细节。 这些恶意包具有相同的攻击代码以及相同的高版本号(99.0),可推断攻击者尝试进行包依赖混淆(Dependency Confusion)供应链投毒。 install user-agents-parsers -i https://pypi.tuna.tsinghua.edu.cn/simplePart4 CStealer后门4月25~26号, 悬镜供应链安全情报中心在
1.1K10编辑于 2024-05-21 - 来自专栏FreeBuf
重大供应链威胁!这个 Java 开源框架存在严重漏洞
美国网络安全和基础设施安全局(CISA)的安全研究人员报告称,一个受广泛使用的开源Java框架中存在严重漏洞并被攻击者利用,以向未打补丁的服务器部署后门。 专家表示,这种情况可能会对未打补丁的软件构成重大供应链威胁。 供应链面临风险 当Huntress对该漏洞进行分析时,没有证据表明存在主动利用的情况。 这对攻击者来说无疑是利好的,同时这可能给供应链带来重大风险。
59410编辑于 2023-03-29 - 来自专栏开源社
开源的7大理念
本文分析了开源的7大理念,有助于读者更好理解开源的本质要素,这些理念为“完全自主”、“高度开放”、“自发自治”、“自下而上”、“自由竞争”、“赢在声誉”、“社区赋能”。 7 Eric Raymond 在著名的《大教堂与集市》8一文中说:“谁能想到,几千名散布在全球各地的程序员,利用业余时间,仅仅通过 Internet,就鬼斧神工般地造就一个世界级的操作系统?” 芬兰学校的暑假有点长,1991年的暑假更是从5月中旬放到了10月中旬,Linus 完全将时间投入到了编程之中,一周7天,一天10个小时,全都在写代码。 Dubbo 花了很多的时间去准备,也把整个过程完全的文档化,孵化过程中,由7位不同的 Release Manger 轮流负责,确保不同的人都可以完成发布。 7 社区赋能 Apache 有一句格言叫”社区重于代码",它强调的是:一个健康的社区远比良好的代码重要。如果代码消失, 一个强大的社区可以重写它;但是, 如果一个社区不健康, 代码最终也会失败。
1.6K40发布于 2019-08-20 - 来自专栏DotNet NB && CloudNative
盘点7个开源WPF控件
盘点7个WPF控件,有窗口托拉拽控件、Excel控件、列表排序控件、适合管理系统的一整套UI控件等。 1、一个可拖拉实现列表排序的WPF开源控件 项目简介 gong-wpf-dragdrop是一个开源的.NET项目,用于在WPF应用程序中实现拖放功能,可以让开发人员快速、简单的实现拖放的操作功能。 2、一个类似Office用户界面的WPF库 项目简介 Fluent.Ribbon是一个开源的UI库,它提供了现代化的、易于使用的用户界面,可以用于创建各种类型的桌面应用程序。 1、拖拉拽标签; 2、浮动的窗口、多文档界面; 3、支持MVVM; 4、支持Chrome风格的标签、支持IE风格的透明风格; 5、可自定义样式; 6、支持调整窗口透明度、窗口大小、最大化等样式; 7、 7、一款基于.Net Core开发简约漂亮的 WPF UI库 项目简介 这是一款使用简单、UI评论的WPF UI库,借鉴了多个开源框架。UI简单清晰、大气。
4.4K21编辑于 2023-08-30 - 来自专栏数商云贸
解读互联网+供应链金融的7种主流玩法
数商云供应链服务公司解读:随着供应链的随着互联网供应链金融的发展和崛起,供应链金融这个炫酷的技术名词开始越来越多地被资本家和创业者和BAT提及和追逐。 纵观整个大局,可以发现,互联网供应链金融系统已经玩出了不同的模式,数商云贸将其拆解如下: 支付+供应链金融 只想做支付的支付公司不是好公司。 以快钱为例,2009年开始,快钱开始探索供应链融资,2011年快钱正式将公司定位为"支付+金融"的业务扩展模式,全面推广供应链金融服务。 物流企业+供应链金融 物流占据了整个商品交易过程中重要的交付环节,连接了供应链的上下游。它们基于物流服务环节及物流生产环节在供应链上进行金融服务。 一站式供应链管理平台+供应链金融 一些综合性第三方平台,集合了商务、物流、结算、资金的一站式供应链管理,如国内上市企业的怡亚通、苏州的一号链、南京的汇通达、外贸综合服务平台—阿里巴巴一达通等,这些平台对供应链全过程的信息有充分的掌握
2.5K40发布于 2019-11-19 - 来自专栏绿盟科技研究通讯
开源软件供应链安全系列:OSS风险点与预防
软件供应链安全包括两部分,一是引入的开源组件包中存在漏洞,二是引入的开源组件包中存在攻击者精心制作的恶意代码。 开源软件供应链安全攻击风险点 开源软件除了引入漏洞等不安全因素,在使用的过程中还包含人为攻击的各种风险点。 开源软件供应链安全防护措施 目前这两年针对软件供应链的产品逐渐完善,形成针对各个流程的安全防护手段,下面主要概述针对开源软件供应链攻击的防护措施。 总结与思考 列出的安全风险点有助于提高对开源软件供应链威胁的认识,有助于确定给定利益相关者对供应链攻击的暴露程度。下面是我的总结内容: 1. 开源软件供应链安全研究综述. *软件学报*, 0-0. 3. CodeWisdom.技术科普:浅谈开源软件供应链风险.
1.8K20编辑于 2023-02-22 - 来自专栏汇智网教程
基于超级账本Fabric的供应链跟踪解决方案【开源】
本项目为基于Hyperledger Fabric区块链的供应链资产跟踪解决方案,项目主要包括链码和Web应用两部分。
1.5K30发布于 2019-03-29 - 来自专栏带你回家
7款开源java反编译工具
7、Java Decompiler 这款反编译器叫 “Java Decompiler”, 由 Pavel Kouznetsov开发,目前最新版本为0.2.5.
6.1K10发布于 2019-11-07 - 来自专栏程序猿DD
开源 7 天,斩获 2.2 万 Star
出品 | OSC开源社区(ID:oschina2013) 除了大力投资 Open AI ,微软还亲自下场大搞 AI 。 8 天前,微软开源了 Visual ChatGPT ,这个软件可以连接 ChatGPT 和一系列视觉模型,以实现在 ChatGPT 的聊天过程中发送和接收图像。
33350编辑于 2023-04-04 - 来自专栏XBD
CentOS7搭建开源镜像站
off; autoindex_localtime on; } } 同步,编写一个同步脚本 # 创建目录 mkdir -p /usr/share/nginx/html/epel/7/ SRPMS/ rsync -avrtz rsync://mirror.de.leaseweb.net/epel/7/SRPMS/ /usr/share/nginx/html/epel/7/SRPMS/ createrepo /usr/share/nginx/html/epel/7/SRPMS/ mkdir -p /usr/share/nginx/html/epel/7/x86_64/ rsync - avrtz rsync://mirror.de.leaseweb.net/epel/7/x86_64/ /usr/share/nginx/html/epel/7/x86_64/ createrepo / =http://192.168.1.50/epel/7/SRPMS/ enable=1 gpgcheck=0 yum clean all yum makecache
2.4K10编辑于 2022-10-27 - 来自专栏全栈程序员必看
7款开源Java反编译工具
官方网站:https://code.google.com/p/minjava/ 7、Java Decompiler 这款反编译器叫 “Java Decompiler”, 由 Pavel Kouznetsov
14.3K10编辑于 2022-09-08 - 来自专栏DevOps
开源KMS之vault part7
tips: policy的命令行 删除方法: vault policy delete my-policy
36510编辑于 2024-06-03 - 来自专栏深度学习与python
从 10 万 npm 用户信息被窃看开源软件供应链安全
作者 | 赵钰莹 如今,所有热爱开源的开发者可能都心怀担忧:开源软件的供应链安全问题如何解决? 2021 年 7 月,欧盟网络安全机构(ENISA)发布了一份题为《Understanding the increase in Supply Chain Security Attacks》的报告,分析了最近一年的软件供应链安全的信息 具体为: 《软件供应链安全保障基本要求》 中国通信标准化协会标准 开源软件合规性问题解答 InfoQ:开源协议及其基金会在整个开源软件供应链中扮演着一个什么样的角色,他们具体能解决哪些问题? Gavin:站在软件供应链安全的角度,开源只是其中一部分,但目前绝大多数安全事件都是因为开源软件导致的,所以大家潜移默化会把软件供应链安全与开源软件漏洞紧密结合起来。 今日好文推荐 史上最强韦伯太空望远镜:任何不可靠的软件故障点都可能让百亿美元泡汤 微软开始封禁商业开源:从 App Store 入手,7 月 16 日生效?!
65010编辑于 2023-03-29 - 来自专栏趣谈前端
前端工作7年, 聊聊工作&开源&创业
今年结束之后工作就满7年了, 也是跨行做前端的第七个年头. 4年前开始热衷于在各大技术平台分享前端技术, 开源一些自己的框架, 想法, 收获了很多启发. 通过大家的共同努力, 成功让 Dooring 在 github 收获 8k+ star. 2年前入职一家人工智能公司, 目前长期远程办公. 7年的工作中, 有差不多半年时间的空窗期, 这段时间主要在创业 每年开源10个高价值的开源项目 是我之前定下的技术目标, 每年也都在落地, 今年也会抓住最后的尾巴, 沉淀一些技术思想和设计思路, gihub: 100+优质开源项目, 后面会针对可视化, nodejs , 前端引擎设计 做一些开源的方案, 感兴趣的朋友也可以随时交流学习. github: https://github.com/MrXujiang 以下是我往期的开源项目, 大家也可以学习参考交流一下: 更多推荐 2023年, 前端路上的开源总结(最新更新) 低代码平台组件间通信方案复盘 前端图形学实战: 从零开发一款轻量级滑动验证码组件(vue3 + vite版)
39620编辑于 2023-11-07
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号