- 综合排序
- 最热优先
- 最新优先
- 来自专栏旅途散记
谷歌的开源供应链安全
这可以被视为算法供应链攻击. 2019年9月,疑似来自俄罗斯的黑客组织闯入了名为SolarWinds[9]的公司的构建服务器,当Orion更新时(译者注:该一个网络管理平台),他们将恶意代码注入到SolarWinds copay是开源的,但事件流是开源的,所以这是一个开源供应链攻击。代码在两个半月的时间里都没有被发现,你知道攻击者是如何开展行动的? 例如,2021年9月21号,苹果修复了一个错误,该错误允许通过发送带有特制图像附件的iMessage来实现所谓的iPhone设备的零点击接管。 xpdf 中的问题是一项错误,log4j中的问题是一个功能,他们都不是恶意的,但是都是供应链的重要组成部分.因此让我们扩大供应链漏洞的定义,将开源供应链漏洞定义为由开源组件引起的可信软件中的可利用弱点。 现在我们可以将开源供应链安全定义为防御开源供应链攻击和开源供应链漏洞的工程。
61610编辑于 2023-12-19 供应链投毒预警 | 开源供应链投毒202401最新月报来啦!
概述悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库,结合程序动静态分析方法对潜在风险的开源组件包进行分析和监测,捕获大量开源组件恶意包投毒攻击事件。 ex=656e50c4&is=655bdbc4&hm=cca58d210eaf8cee1ba47b9d92f9ce5814998a785e827885331ab77ab5c6d587&") if ex=656e50c4&is=655bdbc4&hm=cca58d210eaf8cee1ba47b9d92f9ce5814998a785e827885331ab77ab5c6d587恶意程序释放执行该攻击方式主要将恶意程序捆绑打包进投毒包中 ==解码后的恶意代码 url 为:https://gist.github.com/KaravayevAlexei/bdf4f9e280714d87303d4909d19de3a7/raw/3163e9c9ff618c50a8d8a9f60053a3683985e351 悬镜供应链安全情报中心将持续监测全网主流开源软件仓库,对潜在风险的开源组件包进行动态跟踪和溯源,实现快速捕获开源组件投毒攻击事件并第一时间提供精准安全预警。
76210编辑于 2024-03-02- 来自专栏云云众生s
开源安全供应链走向成熟的2023年
事实上,它与现代开发那么交织在一起,以至于代码所有者通常不知道自己软件中的开源组件。" 唉。 正如Synopsys报告的那样,"确保软件供应链安全的第一步是管理应用程序中的开源和第三方代码。 如果您无法有效管理和确保开源和第三方软件的安全性,那么为确保供应链安全所做的任何其他努力都将失效 - 或者坦率地说,甚至无关紧要。" Synopsys没有说错。 虽然2023年的大部分主要安全改进都是针对软件供应链的,但还有其他重大进展。其中之一是漏洞利用可能性交换(VEX)及其开源实现OpenVEX的兴起。 开发者安全公司Snyk在其2023年软件安全调查中发现,尽管针对开源代码的网络攻击数量创历史新高,但40%的受访者仍然不使用关键的供应链安全技术。 当然,公司知道存在问题,但Synk发现他们正在特殊的基础上解决供应链安全问题。只有一半的公司有正式的供应链安全策略。 我们在2024年的安全任务很清晰。
38810编辑于 2024-03-28 - 来自专栏SDNLAB
开源软件的供应链是否存在安全风险?
去年发生了一些令人震惊的攻击,这使得开源软件供应链的安全性备受质疑。 那么,这是否意味着开源软件可以安全地再次使用? 答案是不完全是,企业为了更好地保护自己,需要了解开源软件供应链的工作原理,我们生活中几乎所有的设备都包含一个嵌入式开源软件和运行时库的复杂系统。 不幸的是,要理解别人上传的软件非常困难,人们可能会恶意地改变供应链中的数据包或库。 无论你在开源供应链中的角色如何,如果我们要防范未来的攻击,必须对安全性给予更多的关注。安全专业人员通过默默无闻的方式熟悉安全性,他们错误地认为,如果软件很难理解,就很难发起攻击。 去年的攻击表明,通过滥交(将开放源代码无管理地纳入软件供应链)带来的不安全感是我们面临的新的问题。
1.1K50发布于 2018-06-11 - 来自专栏A周立SpringCloud
这 9 个 Java 开源项目 yyds
在开源中国里,不知道大家有没有留意到一个Java开源组织——Dromara? 这个组织是由 Apache ShenYu(前身是Soul网关)的作者创立,多位 Java 开源作者参与的一个Java开源组织。 在开源中国社区,很多 Java 开源作者都是各自为战,独立运营项目。 目前 Dromara 社区拥有 9 个 GVP 项目,和一些 Star 数量很高的项目。这些开源项目社区都很活跃,每一个都是能提高工作效率的精品开源作品。 下面就来盘点下 Dromara 组织其中的这 9 个开源项目,都是非常实用的工具,用好这些将会让你的生产效率大大提升! 1. 9. MaxKey MaxKey 单点登录认证系统是业界领先的企业级 IAM 身份管理和认证框架,产品化程度很高,多家知名公司的选择!
94920发布于 2021-12-01 - 来自专栏前端迷
9个不错的前端开源项目
以React为例,它是四年前才由Facebook开源的,它已经成为全球JavaScript开发人员的第一选择。 当然,Vue和Angular也有其合法的追随者群体。 为了帮助你在2020年成为前端大师,我收集了9个不同的项目,每个项目都有不同的主题和不同的JavaScript框架或库作为技术栈,您可以构建它们并将它们添加到学习计划中。 https://www.telerik.com/blogs/building-a-blog-with-vue-and-markdown-using-gridsome 9.使用Quasar构建类似SoundCloud 总结 在本文中,我向您展示了可以构建的9个项目,每个项目都专注于另一个JavaScript框架或库。 现在,选择权全由您自己决定:您是否会使用以前未使用的框架来尝试一些新的东西?
8.3K30发布于 2020-05-26 - 来自专栏猿天地
这 9 个 Java 开源项目 yyds
在开源中国里,不知道大家有没有留意到一个Java开源组织——Dromara? 这个组织是由 Apache ShenYu(前身是Soul网关)的作者创立,多位 Java 开源作者参与的一个Java开源组织。 在开源中国社区,很多 Java 开源作者都是各自为战,独立运营项目。 目前 Dromara 社区拥有 9 个 GVP 项目,和一些 Star 数量很高的项目。这些开源项目社区都很活跃,每一个都是能提高工作效率的精品开源作品。 下面就来盘点下 Dromara 组织其中的这 9 个开源项目,都是非常实用的工具,用好这些将会让你的生产效率大大提升! 1. 9. MaxKey MaxKey 单点登录认证系统是业界领先的企业级 IAM 身份管理和认证框架,产品化程度很高,多家知名公司的选择!
1.2K10编辑于 2021-12-02 - 来自专栏DevOps
开源KMS之vault part9
启用transit引擎$ export VAULT_ADDR='http://192.168.31.181:8200' $ vault login hvs.BwHLss1Dmh9Be30uKVHAAlD5 /QpHHP06xCJcVfjDn3RRs=key_version 1可以看到,给出明文Abcd@1234,我们得到的了密文vault:v1:Kz38wR3kWN+xHcW9MHEKT7FQbRTNuV 我们使用Root Token登录,再查看一下当前密钥环的信息:$ vault login hvs.BwHLss1Dmh9Be30uKVHAAlD5查看秘钥的版本$ vault read transit/ /JaC4nuuKqTjUs8=vault:v1:DSwrID5mjj2onmX7o35xMj8A6elIE9DSdirtXb7k0MyqLcC1gEE=执行下面的rewrap命令即可$ vault write transit/rewrap/orders ciphertext="vault:v1:Kz38wR3kWN+xHcW9MHEKT7FQbRTNuV/QpHHP06xCJcVfjDn3RRs="Key
60110编辑于 2024-06-03 - 来自专栏深度学习与python
如何保护你的开源项目免遭供应链攻击
作者 | Anne Bertucio 译者 | 平川 策划 | 赵钰莹 过去一年可谓是供应链安全年。 如果你是一个开源维护者,当你了解了项目的攻击面以及项目整个供应链的威胁载体,你可能会感到不知所措,甚至觉得无法克服。好消息是,2021 年也是供应链安全解决方案年。 虽然还有很多工作要做,现有的解决方案也有很大的改进空间,但已经可以对项目进行预防性控制,以强化供应链,免受安全威胁。 本文最初发表于谷歌开源博客,由 InfoQ 中文站翻译并分享。 本文介绍了相关问题、答案和预防选项,如果你想保护自己的开源项目免受供应链攻击,那么这是一份不错的初级指南。 开源项目安全性的相关资源: SLSA:一个供应链安全等级框架 Scorecards:安全最佳实践应用评价工具 Allstar:一个确保采用安全最佳实践的 GitHub 应用 Open Source Insights
88330编辑于 2022-04-19 - 来自专栏FreeBuf
为强化软件供应链安全,谷歌启动GUAC开源项目
10月20日,Google宣布正在为名为Graph for Understanding Artifact Composition(GUAC)的开源项目寻找感兴趣的贡献者,以此进一步强化软件供应链安全。 谷歌Brandon Lum、Mihai Maruseac 和 Isaac Hepworth称,GUAC开源项目将可以解决整个生态系统中迅速发展的工作所产生的需求,以生成软件构建、安全和依赖元数据。 GUAC旨在让每个组织都可以只有访问和调用这些信息,正在发挥开源的共享和民主的特性。 谷歌多手段强化供应链安全 在启动GUAC开源项目之前,谷歌在供应链安全方面已经有了多个动作。 支撑此架构的数据来自Sigstore、GitHub、开源漏洞( OSV )、Grype和Trivy等,以在漏洞、项目、资源、开发人员、工件和存储库之间建立有意义的关系。
51130编辑于 2022-11-14 - 来自专栏OpenSCA
供应链投毒预警 | 开源供应链投毒202404月报发布(含投毒案例分析)
概述悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库,结合程序动静态分析方式对潜在风险的开源组件包进行动态跟踪和捕获,发现大量的开源组件恶意包投毒攻击事件。 在2024年4月份,悬镜供应链安全情报中心在NPM官方仓库(https://www.npmjs.com/)和Pypi官方仓库(https://pypi.org/)上共捕获772个不同版本的恶意组件包,其中 投毒案例分析本节将从4月份捕获的开源组件恶意包中选取部分具有代表性的投毒样本进行分析、还原投毒攻击细节。 这些恶意包具有相同的攻击代码以及相同的高版本号(99.0),可推断攻击者尝试进行包依赖混淆(Dependency Confusion)供应链投毒。 https://discord.com/api/webhooks/1232850034068951061/T9KYVDomdrducNo_ruHMwHqxePkIfSiKJumxUHggS82EhLTCviZT5F_JOiqVnnP9p6VW
1.1K10编辑于 2024-05-21 - 来自专栏FreeBuf
重大供应链威胁!这个 Java 开源框架存在严重漏洞
美国网络安全和基础设施安全局(CISA)的安全研究人员报告称,一个受广泛使用的开源Java框架中存在严重漏洞并被攻击者利用,以向未打补丁的服务器部署后门。 专家表示,这种情况可能会对未打补丁的软件构成重大供应链威胁。 供应链面临风险 当Huntress对该漏洞进行分析时,没有证据表明存在主动利用的情况。 这对攻击者来说无疑是利好的,同时这可能给供应链带来重大风险。 Fox-IT研究人员在1月9日说,他们已经确定了 总共有286台运行R1Soft服务器软件的服务器带有特定后门。
59410编辑于 2023-03-29 - 来自专栏腾讯开源的专栏
【开源公告】WCDB(WeChat Database)于6月9日正式对外开源
可用于修复损坏数据库 针对占用空间大小优化的数据库备份/恢复功能 日志输出重定向以及性能跟踪接口 内建用于全文搜索的 mmicu FTS3/4 分词器 WCDB(WeChat Database)于6月9日在 GMTC全球移动技术大会上正式对外开源 官方开源地址: https://github.com/Tencent/wcdb 来给Github给WCDB一个star吧!
1.6K50发布于 2018-03-02 - 来自专栏顶级程序员
GitHub 上 9 月份最火的开源项目
今天我们将继续介绍 GitHub 上 9 月份最受欢迎的 11 个开源项目,在这些项目中,你有在用或用过哪些呢? Node.js 的生态系统是目前最大的开源包管理系统。 Node.js 是一套用来编写高性能网络服务器的 JavaScript 工具包,一系列的变化由此开始。 BRPC 即 Baidu-RPC ,是百度开源的 RPC 框架,在百度内部被大量采用,拥有超过 60 万个实例和 500 多种服务。 9 构建 iOS 和 Android 应用的框架 matcha https://github.com/gomatcha/matcha Star 2377 Matcha 是一款在基于 Go 构建 iOS 11 开放大数据服务引擎 vespa https://github.com/vespa-engine/vespa Star 2157 Vespa 是雅虎开源的针对大数据集的低延迟计算引擎。
1.6K40发布于 2018-04-26 - 来自专栏绿盟科技研究通讯
开源软件供应链安全系列:OSS风险点与预防
软件供应链安全包括两部分,一是引入的开源组件包中存在漏洞,二是引入的开源组件包中存在攻击者精心制作的恶意代码。 开源软件供应链安全攻击风险点 开源软件除了引入漏洞等不安全因素,在使用的过程中还包含人为攻击的各种风险点。 开源软件供应链安全防护措施 目前这两年针对软件供应链的产品逐渐完善,形成针对各个流程的安全防护手段,下面主要概述针对开源软件供应链攻击的防护措施。 总结与思考 列出的安全风险点有助于提高对开源软件供应链威胁的认识,有助于确定给定利益相关者对供应链攻击的暴露程度。下面是我的总结内容: 1. 开源软件供应链安全研究综述. *软件学报*, 0-0. 3. CodeWisdom.技术科普:浅谈开源软件供应链风险.
1.8K20编辑于 2023-02-22 - 来自专栏机器学习算法与Python学习
【Github】9月最热门的Python开源项目
(给机器学习算法与Python学习加星标,提升AI技能) 本文由开源最前线(ID:OpenSourceTop) 整编 9月份GitHub上最热门的Python开源项目排行已经出炉啦,一起来看看上榜详情吧 InfoSpider https://github.com/kangvcar/InfoSpider InfoSpider是一个集众多数据源于一身的爬虫工具箱,旨在安全快捷的帮助用户拿回自己的数据,工具代码开源 Hotmail邮箱、Outlook邮箱、京东、淘宝、支付宝、中国移动、中国联通、中国电信、知乎、哔哩哔哩、网易云音乐、QQ好友、QQ群、生成朋友圈相册、浏览器浏览历史、12306、博客园、CSDN博客、开源中国博客 6 eat_pytorch_in_20_days https://github.com/lyhue1991/eat_pytorch_in_20_days 如何在20天拿下Pytorch,这本开源电子书可以告诉你答案 9 PayloadsAllTheThings https://github.com/swisskyrepo/PayloadsAllTheThings Payloads All The Things 收录可用于
1K31发布于 2020-10-30 - 来自专栏CDA数据分析师
9月机器学习开源项目Top10
Mybridge 译者 | 王天宇 整理 | Jane 出品 | AI科技大本营 本文转自 AI 科技大本营,转载需授权 【导读】我们从过去一个月近 250 个有关机器学习的开源项目中 对于程序员来说,开源项目是十分有帮助的。希望你能从中找到可以激发你灵感的有趣项目。最后祝大家节日快乐! utm_source=mybridge&utm_medium=blog&utm_campaign=read_more ▌No.8 AIF360:用于检测并去除机器学习模型偏差的开源库 这个 AI Fairness
59940发布于 2018-10-25 - 来自专栏汇智网教程
基于超级账本Fabric的供应链跟踪解决方案【开源】
本项目为基于Hyperledger Fabric区块链的供应链资产跟踪解决方案,项目主要包括链码和Web应用两部分。
1.5K30发布于 2019-03-29 - 来自专栏测试开发技术
9款开源自动化测试框架!
虽然技术团队可以构建复杂的自动化测试框架,但是当可以选择现有的开源工具,库和测试框架获时,则可以选择适合自己的框架,来节省开发成本和时间。 在选择开源的自动化测试框架时,务必关注这些关键要素,比如可重用、易于维护、最少的人工干预、稳定性、可扩展等。 如何选择测试自动化框架? 4、对最新平台功能的支持:开源测试框架应定期更新,并应与最新的操作系统功能兼容。 下面根据我们的经验,为大家推荐9个开源的自动化测试框架,方便朋友们参考。 07Selenium Selenium是最流行的Web应用程序开源自动化测试框架。因为它在多个操作系统之间具有交叉兼容性,所以可以用多种语言编写测试脚本。 它基于两个开源工具Selenium和Appium构建,其目标是吸引新测试人员,并允许他们使用常用的自动化操作运行测试。
4.1K10编辑于 2021-12-13 - 来自专栏深度学习与python
从 10 万 npm 用户信息被窃看开源软件供应链安全
作者 | 赵钰莹 如今,所有热爱开源的开发者可能都心怀担忧:开源软件的供应链安全问题如何解决? 关于开源代码维护者因反俄给 node-ipc 库添加恶意代码、GitHub 封停部分俄罗斯开发者账号的讨论还未结束,10 万 npm 用户账号信息被窃再登 HN 热搜,开源软件供应链的安全性成为业界关注的焦点话题 具体为: 《软件供应链安全保障基本要求》 中国通信标准化协会标准 开源软件合规性问题解答 InfoQ:开源协议及其基金会在整个开源软件供应链中扮演着一个什么样的角色,他们具体能解决哪些问题? Gavin:站在软件供应链安全的角度,开源只是其中一部分,但目前绝大多数安全事件都是因为开源软件导致的,所以大家潜移默化会把软件供应链安全与开源软件漏洞紧密结合起来。 InfoQ:目前在整个开源软件供应链里面最常见的法律合规性的问题是什么?企业应该怎么应对这些问题?
65010编辑于 2023-03-29
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号