murphysec

本文整理自 OSCS 软件供应链安全技术论坛- 章华鹏老师开场致辞的分享内容。 章华鹏，十二年的企业安全建设、安全社区白帽子、开发者，先后在百度、贝壳负责过企业安全建设 ，也在乌云负责过安全产品，业余时间活跃于安全技术社区，帮助企业、开源项目、软件公司解决过数百个严重安全问题，现在负责墨菲安全和 OSCS 社区，专注于软件供应链安全方向。 软件供应链安全的概…

本次分享由墨菲安全联合创始人&研发负责人宇佰超于 9 月 26 日快手安全沙龙中分享，本次主题《软件供应链安全体系、方法与落地》，文末附本次分享视频链接，欢迎大家查阅分享，如有任何欢迎联系我们一起交流讨论～ 随着国家 IT 及信息化的推广与普及、IT 行业的快速发展，软件供应链体系愈发的成熟。企业软件开发与信息化建设过程中，涉及与使用到的供应链比重越…

本文整理自 OSCS 软件供应链安全技术论坛- 边立忠（京蛰）老师的分享《蚂蚁供应链安全建设实践》完整内容。 边立忠，蚂蚁集团高级安全专家，蚂蚁集团应用安全产品中台负责人，主要负责蚂蚁 SCA、IAST、SAST、镜像安全扫描等供应链安全相关产品的建设和技术研究。 大家好，我是边立忠，很高兴今天有机会给大家做一个软件供应链安全相关的分享。 我在蚂蚁主要负责 …

因为我本身也在做开源，所以比较关注这个问题，最近因为工作需要，总结和分析了一下关于开源许可证相关的知识，也分享给大家一起讨论，希望得到大家的指导。 前言 2021年12月，抖音海外版 TikTok 上线了一款名为 TikTok Live Studio 的 APP，但不久其下载页面就被删除。TikTok 官方对此事做出回应，原因是该 APP 违反 GPL 许可…

APT34是什么？ APT34是一个伊朗的威胁组织，主要在中东地区活动，针对该地区的各种不同行业的组织。它之前已被关联到对UAE的其他网络监视活动。 这个威胁组织经常发动供应链攻击，利用组织之间的信任关系攻击他们的主要目标，系统地攻击那些似乎是出于战略目的而被精心选择的特定组织。 根据Mandiant的研究，APT34自2014年起就开始活动，使用公开和非公…

前言 得益于Java的完备生态，Java一直是非常热门的编程语言。但对于刚刚接触Java的开发者来说，很少会去关注安全相关的问题，没有养成良好的开发习惯，在开发过程中容易带来安全隐患。 我们在本文中总结了五条简单有效的小建议。 一、及时更新依赖组件版本 在Java开发中，开发者经常会用到各类开源组件来实现自己的功能点，但是许多开发者不常关注安全资讯，不了解开…

背景 SolarWinds Orion 软件更新包在2020年底被黑客植入后门，此次攻击事件波及范围极大，包括美国政府部门、关键基础设施以及多家全球500强企业，影响难以估计。如果用户能确认软件来源是可信的 SolarWinds 官方，这次事件可能可以避免。 为了确认软件的来源和构建方式，实现完整性保护，Linux基金会联合Red Hat、Google 和 …

前言 SBOM（软件物料清单）是近年来在软件供应链领域频繁提到的概念，Linux基金会在2021年Q3调研了全球412 家机构发现已经有82%的人熟悉SBOM、78%的组织预计在今年使用SBOM。本文将介绍SBOM基本概念、实现方式、应用场景，帮助读者通过SBOM更高效地实现安全治理目标。 什么是SBOM 根据NTIA(美国国家电信和信息化管理局)的定义，S…

近期有很多同学在找【漏洞扫描工具】，今天来推荐下这款开源组件的漏洞检测工具：使用简单、能力专业、风险展示清晰的 ide 插件“murphysec”。 它可以快速识别项目中使用了哪些存在安全缺陷的开源组件，并帮助一键修复问题。目前支持Java、Javascript、Golang、Python语言的检测，会逐步支持PHP、Ruby以及更多的开发语言。 插件使用的…

写在前面 自从和几个小伙伴一起创办墨菲安全以来，有一年半多的时间了，创业对于我来说，很有意思的一个地方，就是有机会可以和各行各业很多非常有意思的人一起交流，在这个交流的过程中能够不断的提升自己的认知，以我自己创业之前的经历来说，我接触的大多都是互联网和互联网安全这个圈子的人，而现在有很多机会去接触到更多行业的客户和合作伙伴，可以有机会去了解不同行业的业务、安…