- 综合排序
- 最热优先
- 最新优先
- 来自专栏旅途散记
谷歌的开源供应链安全
今天的演讲主题是Google的开源供应链安全。首先,让我们了解一下“供应链安全”到底是什么意思。通常,当我们谈论供应链安全时,是指针对供应链攻击的工程防御。现在,我们需要定义什么是供应链攻击。 专访SolarWinds:遭受黑客攻击 给一家软件公司带来了什么[10] 这些例子都不涉及开源软件。让我们将开源供应链攻击, 定义为对在受信任程序中使用的受信任开源组件的恶意更改。 copay是开源的,但事件流是开源的,所以这是一个开源供应链攻击。代码在两个半月的时间里都没有被发现,你知道攻击者是如何开展行动的? xpdf 中的问题是一项错误,log4j中的问题是一个功能,他们都不是恶意的,但是都是供应链的重要组成部分.因此让我们扩大供应链漏洞的定义,将开源供应链漏洞定义为由开源组件引起的可信软件中的可利用弱点。 现在我们可以将开源供应链安全定义为防御开源供应链攻击和开源供应链漏洞的工程。
60010编辑于 2023-12-19 供应链投毒预警 | 开源供应链投毒202401最新月报来啦!
概述悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库,结合程序动静态分析方法对潜在风险的开源组件包进行分析和监测,捕获大量开源组件恶意包投毒攻击事件。 2024 年 1 月份,悬镜供应链安全情报中心在 Npm 官方仓库(https://www.npmjs.com/)和 Pypi 官方仓库(https://pypi.org/)上共捕获 675 个不同版本的恶意投毒包 针对所有捕获的开源组件投毒包,我们结合源代码分析、动态行为监控等方法总结统计了投毒包的攻击方式和恶意行为。 详细分析请参考:供应链投毒预警 | 恶意 Py 包仿冒 tensorflow AI 框架实施后门投毒攻击DNS 查询外传敏感信息该攻击方式是一种较为隐蔽的信息窃取手法,通常在包管理器安装或者加载投毒包时自动执行用于收集受害者系统敏感数据的 悬镜供应链安全情报中心将持续监测全网主流开源软件仓库,对潜在风险的开源组件包进行动态跟踪和溯源,实现快速捕获开源组件投毒攻击事件并第一时间提供精准安全预警。
74710编辑于 2024-03-02- 来自专栏云云众生s
开源安全供应链走向成熟的2023年
事实上,它与现代开发那么交织在一起,以至于代码所有者通常不知道自己软件中的开源组件。" 唉。 正如Synopsys报告的那样,"确保软件供应链安全的第一步是管理应用程序中的开源和第三方代码。 如果您无法有效管理和确保开源和第三方软件的安全性,那么为确保供应链安全所做的任何其他努力都将失效 - 或者坦率地说,甚至无关紧要。" Synopsys没有说错。 虽然2023年的大部分主要安全改进都是针对软件供应链的,但还有其他重大进展。其中之一是漏洞利用可能性交换(VEX)及其开源实现OpenVEX的兴起。 开发者安全公司Snyk在其2023年软件安全调查中发现,尽管针对开源代码的网络攻击数量创历史新高,但40%的受访者仍然不使用关键的供应链安全技术。 当然,公司知道存在问题,但Synk发现他们正在特殊的基础上解决供应链安全问题。只有一半的公司有正式的供应链安全策略。 我们在2024年的安全任务很清晰。
37810编辑于 2024-03-28 - 来自专栏SDNLAB
开源软件的供应链是否存在安全风险?
去年发生了一些令人震惊的攻击,这使得开源软件供应链的安全性备受质疑。 那么,这是否意味着开源软件可以安全地再次使用? 答案是不完全是,企业为了更好地保护自己,需要了解开源软件供应链的工作原理,我们生活中几乎所有的设备都包含一个嵌入式开源软件和运行时库的复杂系统。 不幸的是,要理解别人上传的软件非常困难,人们可能会恶意地改变供应链中的数据包或库。 无论你在开源供应链中的角色如何,如果我们要防范未来的攻击,必须对安全性给予更多的关注。安全专业人员通过默默无闻的方式熟悉安全性,他们错误地认为,如果软件很难理解,就很难发起攻击。 去年的攻击表明,通过滥交(将开放源代码无管理地纳入软件供应链)带来的不安全感是我们面临的新的问题。
1.1K50发布于 2018-06-11 - 来自专栏深度学习与python
如何保护你的开源项目免遭供应链攻击
作者 | Anne Bertucio 译者 | 平川 策划 | 赵钰莹 过去一年可谓是供应链安全年。 如果你是一个开源维护者,当你了解了项目的攻击面以及项目整个供应链的威胁载体,你可能会感到不知所措,甚至觉得无法克服。好消息是,2021 年也是供应链安全解决方案年。 虽然还有很多工作要做,现有的解决方案也有很大的改进空间,但已经可以对项目进行预防性控制,以强化供应链,免受安全威胁。 本文最初发表于谷歌开源博客,由 InfoQ 中文站翻译并分享。 本文介绍了相关问题、答案和预防选项,如果你想保护自己的开源项目免受供应链攻击,那么这是一份不错的初级指南。 开源项目安全性的相关资源: SLSA:一个供应链安全等级框架 Scorecards:安全最佳实践应用评价工具 Allstar:一个确保采用安全最佳实践的 GitHub 应用 Open Source Insights
87830编辑于 2022-04-19 - 来自专栏OpenSCA
供应链投毒预警 | 开源供应链投毒202404月报发布(含投毒案例分析)
概述悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库,结合程序动静态分析方式对潜在风险的开源组件包进行动态跟踪和捕获,发现大量的开源组件恶意包投毒攻击事件。 在2024年4月份,悬镜供应链安全情报中心在NPM官方仓库(https://www.npmjs.com/)和Pypi官方仓库(https://pypi.org/)上共捕获772个不同版本的恶意组件包,其中 投毒案例分析本节将从4月份捕获的开源组件恶意包中选取部分具有代表性的投毒样本进行分析、还原投毒攻击细节。 这些恶意包具有相同的攻击代码以及相同的高版本号(99.0),可推断攻击者尝试进行包依赖混淆(Dependency Confusion)供应链投毒。 install user-agents-parsers -i https://pypi.tuna.tsinghua.edu.cn/simplePart4 CStealer后门4月25~26号, 悬镜供应链安全情报中心在
1.1K10编辑于 2024-05-21 - 来自专栏FreeBuf
为强化软件供应链安全,谷歌启动GUAC开源项目
10月20日,Google宣布正在为名为Graph for Understanding Artifact Composition(GUAC)的开源项目寻找感兴趣的贡献者,以此进一步强化软件供应链安全。 谷歌Brandon Lum、Mihai Maruseac 和 Isaac Hepworth称,GUAC开源项目将可以解决整个生态系统中迅速发展的工作所产生的需求,以生成软件构建、安全和依赖元数据。 GUAC旨在让每个组织都可以只有访问和调用这些信息,正在发挥开源的共享和民主的特性。 谷歌多手段强化供应链安全 在启动GUAC开源项目之前,谷歌在供应链安全方面已经有了多个动作。 支撑此架构的数据来自Sigstore、GitHub、开源漏洞( OSV )、Grype和Trivy等,以在漏洞、项目、资源、开发人员、工件和存储库之间建立有意义的关系。
50530编辑于 2022-11-14 - 来自专栏FreeBuf
重大供应链威胁!这个 Java 开源框架存在严重漏洞
美国网络安全和基础设施安全局(CISA)的安全研究人员报告称,一个受广泛使用的开源Java框架中存在严重漏洞并被攻击者利用,以向未打补丁的服务器部署后门。 专家表示,这种情况可能会对未打补丁的软件构成重大供应链威胁。 供应链面临风险 当Huntress对该漏洞进行分析时,没有证据表明存在主动利用的情况。 这对攻击者来说无疑是利好的,同时这可能给供应链带来重大风险。
58910编辑于 2023-03-29 - 来自专栏绿盟科技研究通讯
开源软件供应链安全系列:OSS风险点与预防
软件供应链安全包括两部分,一是引入的开源组件包中存在漏洞,二是引入的开源组件包中存在攻击者精心制作的恶意代码。 开源软件供应链安全攻击风险点 开源软件除了引入漏洞等不安全因素,在使用的过程中还包含人为攻击的各种风险点。 开源软件供应链安全防护措施 目前这两年针对软件供应链的产品逐渐完善,形成针对各个流程的安全防护手段,下面主要概述针对开源软件供应链攻击的防护措施。 总结与思考 列出的安全风险点有助于提高对开源软件供应链威胁的认识,有助于确定给定利益相关者对供应链攻击的暴露程度。下面是我的总结内容: 1. 开源软件供应链安全研究综述. *软件学报*, 0-0. 3. CodeWisdom.技术科普:浅谈开源软件供应链风险.
1.8K20编辑于 2023-02-22 - 来自专栏汇智网教程
基于超级账本Fabric的供应链跟踪解决方案【开源】
本项目为基于Hyperledger Fabric区块链的供应链资产跟踪解决方案,项目主要包括链码和Web应用两部分。
1.5K30发布于 2019-03-29 - 来自专栏深度学习与python
从 10 万 npm 用户信息被窃看开源软件供应链安全
作者 | 赵钰莹 如今,所有热爱开源的开发者可能都心怀担忧:开源软件的供应链安全问题如何解决? 关于开源代码维护者因反俄给 node-ipc 库添加恶意代码、GitHub 封停部分俄罗斯开发者账号的讨论还未结束,10 万 npm 用户账号信息被窃再登 HN 热搜,开源软件供应链的安全性成为业界关注的焦点话题 具体为: 《软件供应链安全保障基本要求》 中国通信标准化协会标准 开源软件合规性问题解答 InfoQ:开源协议及其基金会在整个开源软件供应链中扮演着一个什么样的角色,他们具体能解决哪些问题? Gavin:站在软件供应链安全的角度,开源只是其中一部分,但目前绝大多数安全事件都是因为开源软件导致的,所以大家潜移默化会把软件供应链安全与开源软件漏洞紧密结合起来。 InfoQ:目前在整个开源软件供应链里面最常见的法律合规性的问题是什么?企业应该怎么应对这些问题?
63810编辑于 2023-03-29 - 来自专栏RASP社区
GOTC演讲回顾|基于代码疫苗技术的开源软件供应链安全治理
在“聚焦开源安全”分论坛中,悬镜安全COO董毅进行了以“基于代码疫苗技术的开源软件供应链安全治理”为题的主题分享,围绕“代码疫苗技术”给出了一套覆盖治理与运营全流程的开源安全解决方案。 Gartner认为,到2025年,全球45%的组织会受到软件供应链攻击,比2021年增长三倍。近几年,重大的软件供应链攻击事件很多都与开源漏洞相关。开源供应链面临着严峻的安全风险。 站在供应链安全的角度,软件在开发、供应、使用这三大环节中都面临相应的安全风险。因此,每个环节都需要技术抓手来协助解决安全问题。悬镜安全核心的代码疫苗技术正是企业进行供应链安全治理的技术切入点。 包括但不限于: 基于真实攻击事件生成数据,您需要的所有内容均包含在同一条日志记录中 提供多种维度的图、表协助您的团队进行数据分析 对接至其他SIEM平台或自研风险度量平台与您的其它数据汇总分析 3.落地方案 开源软件供应链安全治理痛点 悬镜从以下三个方面提出一体化的应用安全落地要点,将基础环境、代码和安全能力进行整合,共同打造供应链安全场景下的应用防护能力。 1.
46110编辑于 2023-06-25 - 来自专栏腾讯安全
Patch2QL:开源供应链漏洞挖掘和检测的新方向
作为软件供应链研究重点,腾讯安全云鼎实验室通过对开源上下游的典型实践的长期分析和漏洞挖掘,论证了供应链的典型威胁,特别是“同源漏洞”的风险模型。 基于此,我们提出一种区别于传统静态分析和成分分析的方法,统一解决两个问题:开源软件有哪些与历史漏洞相似的缺陷?自研代码中引入了哪些开源代码的漏洞? 实战:上游开源项目漏洞挖掘Patch2QL的关键应用之一,是挖掘上游开源项目自身由于复杂的开发历史和人员构成,所存在的与历史漏洞相同成因的缺陷。 结果揭示了开源供应链下游实践中不同程度的来由的问题,并通过向相关厂商和社区反馈,及时封堵了这些长时间存在的风险。 公开资源与规划Patch2QL是一项服务于开源供应链安全的技术,为在开源生态中发挥最大化效能,其产出已由云鼎实验室面向开源生态公开使用。
1.1K10编辑于 2024-01-31 - 来自专栏FreeBuf
开源软件的供应链安全吗?黑客正在利用源代码传播恶意软件
过去一年里,发生了一连串开源软件遭受供应链攻击的事件,并且态势愈演愈烈。就在最近,甚至发现2个独立的后门漏洞进入了数十万服务器管理员下载的库中。 去年10月,发生了一连串的攻击事件,仅在一周之内就发生了2起针对开源项目的供应链攻击。 供应链攻击更“容易”了 事实上,除了开源软件,闭源软件也属于供应链攻击的牺牲品。 为什么针对开源软件/项目的供应链攻击似乎更容易?因为很多公司不会在其庞大的贡献者群体中进行多因素身份验证和代码签名。 Moore认为,开源供应链感染的影响通常难以衡量,因为后门应用程序可以被另一个软件包作为上游依赖项包含在内。
1.1K30发布于 2019-09-11 - 来自专栏网络安全技术点滴分享
PyPI维护者遭遇钓鱼攻击:假冒登录网站威胁开源供应链安全
该攻击利用欺诈性电子邮件和伪造登录网站窃取凭证,对开源生态系统构成日益严重的威胁。钓鱼手法该活动始于伪装成PyPI官方通信的钓鱼邮件。 鉴于全球组织和开发者对开源软件包的依赖,即使单个维护者账户被入侵也可能产生深远影响。如果攻击者获得维护者凭证,他们可以篡改现有软件包或上传看似合法的恶意更新。 这种风险并非理论上的——过去如npm攻击等事件表明,单个被入侵的软件包如何在整个供应链中产生连锁反应,影响数千个项目。这形成了典型的软件供应链攻击,分发过程中的一个薄弱环节会演变为系统性风险。 他们还与其他开源平台合作,加速下架过程并减少暴露。PSF强调,任何可能在此欺诈网站输入凭证的用户应立即更改其PyPI密码,并检查安全历史记录中是否有可疑活动。 针对PyPI维护者的持续钓鱼活动突显了软件供应链面临的持久且不断演变的威胁。这些攻击利用了开发者对官方外观通信的信任,同时依靠技术复杂性来欺骗即使警惕的用户。
22900编辑于 2025-09-29 Gitee推出SBOM扫描功能:为开源供应链安全构筑数字防火墙
Gitee推出SBOM扫描功能:为开源供应链安全构筑"数字防火墙"在开源软件占据现代软件开发90%以上组件的今天,供应链安全已成为行业不可忽视的挑战。 Gitee最新推出的SBOM(软件物料清单)扫描功能,正在为开发者提供一套完整的开源组件风险管控方案,这标志着国内代码托管平台在软件供应链安全领域迈出了关键一步。 开源繁荣背后的安全隐患随着Log4j、Spring4Shell等重大漏洞的爆发,开源组件的安全风险已成为全球性问题。美国NTIA的调查显示,超过80%的企业无法准确追踪其软件中的开源组件。 与单纯的代码托管相比,SBOM扫描代表着平台开始向软件供应链上游延伸服务价值。这种转变符合全球开发者平台的发展趋势,也体现了Gitee对行业痛点的深刻理解。 在数字经济时代,软件供应链安全已成为国家战略的重要组成部分。Gitee SBOM扫描功能的推出,不仅为开发者提供了实用工具,更在行业层面推动了安全意识的普及。
35210编辑于 2025-09-15- 来自专栏走进敏捷BI
供应链管理难?用数据打造智能供应链
随着技术的不断进步和经济的飞速发展,企业已由产品竞争,逐渐转移到供应链竞争,供应链也迎来转型变革的最佳时机。 供应链管理建设目标和方法 供应链管理的核心是在合适的时间,把合适的商品配送合适的数量到合适的位置。 具体分为如下四个方面: 1、通过供应链管理缩短现金周转时间,供应链环节是资金周转率的决定性环节。 那么关注供应链的企业应如何实现对供应链的深度科学管理? 供应链绩效是围绕供应链的最终目标,对供应链所包含的各个部门、环节,进行的生产前、生产中和销售后整个环节进行的一个系统整体的分析评价。 在已经了解了供应链绩效体系之后,如何来管理供应链?结合供应链管理分析架构,我们以供应链的关键环节采购、库存为例,来了解企业如何实现供应链的数字化运营。
2.1K32发布于 2021-11-16 - 来自专栏腾源会
开源是容器安全面临的最大挑战?|Anchore 软件供应链安全报告解读
PART ONE Anchore 软件供应链安全报告解读 Anchore[1]是一家关注软件供应链安全的安全厂商,其旗下有好几款关于安全的开源项目,比如 Syft[2]、Grype[3]。 ,发现 70% 以上的代码来源于开源代码,这体现了开源代码的高采用率,这也就导致了此次报告中 23% 的受访者表示开源是容器安全面临的最大挑战。 传统软件供应链攻击集中在公开披露的漏洞上,而近几年逐渐转向对一些开源软件的攻击,因为开源的采用率越来越高,大部分企业的应用程序都包含开源软件,如果将攻击转向上游(upstream)的开源项目,则会对众多的下游 所以软件供应链安全也可以理解为开源软件供应链安全。 如何保证软件供应链安全呢? 快速响应漏洞 当有漏洞被披漏的时候,企业或者组织需要立即采取措施,进行漏洞修复,同时通告可能受影响的上下游。 、开源爱好者、开源领导者的开放社区,致力于帮助开源项目健康成长、开源爱好者能交流协助、开源领导者能发挥领袖价值,让全球开源生态变得更加繁荣。
1.2K20发布于 2021-11-15 - 来自专栏公共互联网反网络钓鱼(APCN)
27个“合法”NPM包暗藏钓鱼陷阱:开源供应链成新型网络钓鱼温床
根据网络安全公司Socket与《The Hacker News》联合披露的一起高隐蔽性供应链攻击事件,27个发布于官方npm注册表的恶意JavaScript包,被证实并非用于执行传统意义上的后门或勒索逻辑 这场代号未公开的行动,标志着网络钓鱼战术正从“社会工程主导”向“基础设施寄生”演进——而开源生态,不幸成了帮凶。 面对日益复杂的供应链投毒,开发者不能再依赖“npm = 安全”的错觉。以下是芦笛提出的实操建议:1. “我们需要一种‘零信任’的依赖管理哲学,”芦笛强调,“不是所有开源都是善意的,也不是所有维护者都值得信赖。” SBOM(软件物料清单)强制披露:要求企业公开所用依赖,倒逼供应链透明化。但这些技术尚未普及。在那之前,每一个npm install,都应是一次有意识的风险决策。
20510编辑于 2026-01-05 - 来自专栏Act的项目管理
供应链管理(一)
供应链管理-1.png 上周去了趟诚品书店,看到了刘宝红的《供应链管理——实践者的专家之路》。 因为我本身就是在做制造业供应链数字化转型的信息化系统的项目管理,打交道的正是供应链的业务。 今天我主要分享的是,刘宝红《供应链管理——实践者的专家之路》的认识供应链这个领域:从三个三谈起。 这里面的采购、运营、物流便是供应链管理的三个模块。 其实仔细看,供应链管理的核心其实就是MRP的实现过程。 供应链再造,往往也是对IT系统的再造。 资金流是企业和供应链的血液,也是企业倒闭的主要原因。 最后,总结下三个流的关系:供应链之所以存在,正是因为有产品流,产品流是供应链的根本。而信息流是供应链的神经系统,驱动和支配产品流和信息流。
1.9K00发布于 2021-07-25
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号