• 置顶 24000字企业开源安全治理最佳实践发布

    写在前面 这篇最佳实践的内容取材于互联网、金融、运营商、智能制造、能源等领域数十家头部企业在过去近三年时间的实践经验总结,在编写这篇最佳实践的2个多月过程中,我又收到将近20家企业的应用安全专家及安全负责人的高质量建议,这其中包括来自小米的piaca、月胜、涂鸦智能的刘龙威、快手的廖师傅及非零解、百度的长林、知乎的维祥及夜明、传化物流的国超、某支付的刘奇及山…

    2024年4月30日
    0
  • 置顶 近期大型攻防演练观感及未来攻防趋势判断

    先说结论 今年大型攻防演练的观感: 1. 大量的国产商业软件供应链厂商的大量商业软件0day被用来攻击(以安全产品、OA、cms、办公软件为主) 2. 社工+钓鱼又玩出了新花样(红队这帮人估计去电诈团队培训回来的?) 3. 开源软件的Nday/0day漏洞及投毒仍然很实用(更多是Nday漏洞有更成熟的利用工具用来打点和内网渗透)未来攻防趋势判断: 1. 未来…

    2023年8月21日
    0
  • 年中汇报,除了“总体可控”,安全团队还能说什么?

    写在前面 6 月底,很多企业安全团队都会迎来一场不太轻松的会——年中总结汇报。 上半年做了什么?下半年预算怎么规划?这些问题都要在这场汇报里向老板讲明白。 汇报的 PPT 往往准备了大量数据:发现了多少漏洞、关闭了多少工单、拦截了多少攻击、建设了多少能力、跟进了多少情报、推动了多少整改…… 这些工作都很重要,也投入了不少精力。 但真正…

    3天前
    0
  • 某汽车电子企业:我们是怎么把 SCA 真正接入研发与发布流程的?

    ✍️ 编者按:本文基于某汽车电子企业在安全治理中的真实落地实践整理而成。应客户要求,文中对企业名称、系统信息及部分实施细节进行了脱敏处理。仅保留其在建设背景、落地路径和漏洞应急中的关键经验,供有类似场景的企业参考。 正文延续客户第一人称叙述。 撰稿人介绍:王多鱼,安全开发出身,现役安全运营,某头部汽车电子企业一线大头兵。习惯以程序员视角审视风险,用工程化思维…

    3天前
    0
  • 国家安全部点名预警!软件供应链投毒治理指南来了

    写在前面  2026年6月18日,国家安全部微信公众号发文提醒警惕软件“供应链投毒”,再次把软件供应链安全问题推到企业和公众面前。 文章中提到,国家网络安全通报中心监测发现,近期集中爆发多起供应链投毒攻击事件,涉及开源软件仓库和商用工具两大核心供应链场景。 而且相关“供应链投毒”事件呈现出攻击隐蔽性强、影响范围广、危害程度高、传播速度快等共性特征,…

    3天前
    0
  • 墨菲安全研究院联合涂鸦等企业发布《出海智能制造开源安全治理最佳实践》

    出海智能制造企业,为什么现在必须重视开源安全治理? 过去企业谈开源安全,大多关注组件漏洞。 但近年来,随着供应链攻击不断升级,开源风险的边界已经明显扩大。恶意投毒、插件生态以及 AI 开发工具扩展等新场景,正在成为新的风险入口。 对出海智能制造企业来说,这个问题比互联网软件更复杂。一个产品背后,往往同时涉及固件、嵌入式软件、云平台、App、第三方 SDK 和…

    4天前
    0
  • 你装的 Skill 真的能用,但也真的会把你的隐私数据带走

    装了个 AI Skill,SSH 私钥可能先出门 最近,AI Agent 越来越像一个能干活的同事。 你给它一个任务,它能查资料、写代码、调接口、生成文档,甚至还能串起一堆工具自己跑流程。 而 Skill,就是让 Agent 变得更能干的一种方式。 今天装一个“代码审查 Skill”、 明天装一个“自动运维 Skill”、 后天再装一个“浏览器操作…

    2026年6月10日
    0
  • 近期投毒事件频发,关基行业如何降低供应链投毒风险?

    写在前面 2026年5月25日,国家网络与信息安全信息通报中心、公安部网安局通报了近期全球主流 JavaScript 软件包管理平台 npm 遭“沙虫”(Shai-Hulud)供应链投毒攻击事件,涉及 echarts-for-react、@antv、TanStack 等多个系列 NPM 组件。 今年以来,随着蠕虫式投毒攻击手法的扩散,以NPM仓库组件为代表的…

    2026年6月4日
    0
  • 墨菲安全获评超聚变探索者大会2026“聚智·同行伙伴”

    2026年5月20日,在“超聚变探索者大会2026”的解决方案生态研讨会上,超聚变正式发布 FusionOS 26 AI原生操作系统,墨菲安全作为超聚变的深度合作伙伴,赋能其AI原生操作系统的建设,同时在多领域与超聚变展开合作并取得不错成果,获评“聚智·同行伙伴”。 写在前面本次获评“聚智·同行伙伴”,对墨菲安全来说,不只是一次合作认可,更意味着墨菲安全是把…

    2026年5月28日
    0
  • 墨菲安全联合公安三所、国泰海通证券发布《漏洞及投毒情报应用实践指南》

    《漏洞及投毒情报应用实践指南》发布 2025 年,明确存在恶意行为的开源包超过 5 万个;蠕虫化投毒事件能在 24 小时内波及上万仓库;NVD 中 30% 以上的影响范围标注存在错误或缺失,直接扫描修复只会把研发淹没在误报里;漏洞从公开披露到攻击者开始利用,窗口已从”天”压缩至”小时&#822…

    2026年5月9日
    0
点击查看更多