《漏洞及投毒情报应用实践指南》发布 2025 年，明确存在恶意行为的开源包超过 5 万个；蠕虫化投毒事件能在 24 小时内波及上万仓库；NVD 中 30% 以上的影响范围标注存在错误或缺失，直接扫描修复只会把研发淹没在误报里；漏洞从公开披露到攻击者开始利用，窗口已从”天”压缩至”小时&#822…

《安全度量最佳实践2026版》发布 在企业安全建设不断走向体系化、经营化的当下，越来越多安全团队开始面临同一个现实问题：安全工作做了很多，但很难用管理层听得懂、业务方愿意配合、组织内能够持续复用的方式表达出来。 很多企业并不缺漏洞数据、告警数据和工单数据，真正缺的是一套统一的安全度量语言。 向上汇报时，管理层听到的是漏洞数量、拦截次数、修复率。 向下推进时，…

写在前面 在企业安全治理中，有一个场景非常普遍：SCA 工具扫出来几十个漏洞，安全团队整理成工单派给研发，研发打开一看，一堆 CVE 编号和 CVSS 评分，完全看不懂，不知道该改哪里，更不知道改了会不会出问题。 于是就开始了漫长的来回沟通：安全要解释这个漏洞什么意思，研发要确认改完会不会影响线上，法务要判断许可证到底能不能用。一个本来 30 分钟能修好的问…

写在前面 过去20年，我们经常会听到大家讨论：企业安全部门/从业者长期面临着不出事不被重视、出事了又要背锅、推进安全治理的工作不被业务部门认可，久而久之安全从业者可能都开始怀疑很多工作是否真正有价值。 我认为破解这一切的关键核心在于2个点：科学度量、高效治理。 AI原生的安全治理平台（SGP）如何解决这两个问题？ 2024年开始，墨菲安全联合互联网、金融、智…

《开源安全治理最佳实践2026版》发布 2025年，新增开源漏洞42万+条，日均超过1,000个；59,000+个恶意投毒组件被识别，增幅超50%；53%的企业代码库存在许可证冲突；攻击者5天内开始扫描，企业修复却平均需要55天。 这组数据背后，反映的不是单一漏洞管理问题，而是一个更加系统性的现实：当开源成为软件底座，开源安全治理能力也必须成为企业安全建设的…

2025年，开源软件供应链投毒威胁持续升级，全年识别到的投毒包总量突破59,000个，相较2024年增幅超过50%，日均新增投毒包逾200个。 NPM仓库仍是投毒重灾区，占比超过87%；与此同时，攻击目标已从传统组件仓库向IDE插件、浏览器扩展、GitHub Action、AI工具链等新型生态加速蔓延。 从攻击行为来看，2025年呈现三大显著演变： 墨菲安全…

漏洞类型 代码注入 发现时间 2026-04-08 漏洞等级 高危 MPS编号 MPS-xwyr-fole CVE编号 CVE-2026-34197 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache ActiveMQ Classic 是 Apache Software Foundation 开源的 Java 消息中间件，用于构建 JMS 消息代理与系…

漏洞类型 保护机制失效 发现时间 2026-03-27 漏洞等级 高危 MPS编号 MPS-vxa0-ywjp CVE编号 CVE-2026-27893 漏洞影响广度 一般 漏洞危害 OSCS 描述 vLLM 是一个开源的大语言模型高性能推理与服务引擎，用于在生产环境中部署和运行大规模语言模型，支持多种模型架构的高效推理。 受影响版本中，vllm/model…