murphysec

软件中为什么会依赖开源组件？ 在软件开发的过程中，我们往往会使用一些第三方或者开源的组件，来提供一些基础的功能或者服务，从而简化开发工作，提高效率和质量。例如，我们可能会使用 Apache Commons、Spring Boot、jQuery 等开源组件来实现一些常见的操作，如字符串处理、Web 开发、DOM 操作等。 使用开源组件的好处是显而易见的，它们可…

引言 随着软件开发的日益复杂和分散，软件供应链安全成为了一个重要的挑战。软件供应链指的是从源代码到最终产品的整个生命周期中涉及的所有环节，包括开发、构建、测试、部署和维护等。软件供应链中可能存在各种各样的组件和依赖项，如开源软件、第三方库、框架、工具等。这些组件和依赖项可能来自不同的来源，具有不同的许可证，存在不同的漏洞和风险。如果不对这些组件和依赖项进行有…

引言 你是否知道你使用的软件都是由哪些组件构成的？你是否了解这些组件的来源、版本、许可证和安全状况？如果你是一个软件开发者或者供应链管理者，你是否能够追踪和管理你的软件产品中包含的所有组件？在当今的软件行业，这些问题都是非常重要和紧迫的。为了提高软件供应链的透明度和安全性，我们需要一种工具来帮助我们识别、记录和共享软件组件的相关信息。这就是SBOM清单。 S…

将MurphySec代码安全检测工具集成到GitHub action中，可对每一次代码更新实时进行安全漏洞检测，并快速修复这些安全漏洞。 如果您使用过GitHub Actions 请直接按照第3步开始操作 效果图 未开启请点击Actions启用GitHub Actions 如展示如下图所示表示项目已开启Actions 进入项目页面配置Action权限 点击s…

一、功能简介 将墨菲安全代码安全检测工具集成到 GitLab CI 中，可对每一次代码更新实时进行安全漏洞检测，并快速修复这些安全漏洞。 如果您使用过 GitLab CI 请直接按照第 4 步开始操作 集成效果 二、操作步骤 2.1 部署 GitLab Runner 为了使用 GitLab 的 CI/CD 功能，我们需要在一台能够访问到 GitLab 服务的…

前言 Log4j2作为java代码项目中广泛使用的开源日志组件，它的一个严重安全漏洞对于全球的软件供应链生态来讲不亚于一场新冠病毒的影响，任何企业的代码项目沾上它都有可能给企业带来致命的安全风险。 全球新一轮的产业数字化升级对开源软件的依赖日益提升，从而催生开源生态的蓬勃发展，而开源软件的全球化和开放共享的特性使得任何一个非常底层和基础的开源组件的漏洞都有可…

近日《信息安全技术 关键信息基础设施安全保护要求》国家标准正式发布，《要求》中更是从管理机制建立、采购管理、网络产品和设备提供者的责任义务与产品及服务的风险控制方面对供应链安全提出了具体要求。 背景 2022年11月7日，GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》国家标准在京发布，作为推荐性标准将于2023年5月1日正式实施…

AIGC将成为重要的软件供应链 近日，OpenAI推出的ChatGPT通过强大的AIGC（人工智能生产内容）能力让不少人认为AI的颠覆性拐点即将到来，基于AI将带来全新的软件产品体验，而AI也将会成为未来软件供应链中非常重要的一环。 在OpenAI的文档中，例举了可以利用其实现的48种应用场景，人们在积极探索如何将以ChatGPT为代表的AI能力应用到各行各…

每个软件都存在供应链，然而现代软件大部分代码都是开源的，这意味着任何人都可以访问和编辑。但是软件平台的安全取决于其最薄弱的环节，安全漏洞可能随时出现，因此技术领导者必须建立监控和保护供应链中每个环节方案和动作。福布斯技术委员会给出应对软件供应链安全的14条明智的策略，为开发者、企业的安全建设带来思考和建议。 承包商在建造建筑物的时候，会按照计划和流程去采购使…

简述 近日我们监测到Vue.js生态中的vue-cli包遭遇供应链投毒，而被投毒的node-ipc包在npm上每周下载量超百万，影响非常广泛。 被投毒的情况如下： （问题组件每周下载量截图） 事件时间线 3月7号 开发者RIAEvangelist在node-ipc包中添加名为ssl-geospec.js的恶意JS文件，将node-ipc的版本号更新为10.1…