前沿技术

作者：Nurit Bielorai 随着个人和专业环境中对软件的依赖增加，软件供应链的安全性已成为一个关键问题。确保软件的安全性和质量对于防范数字攻击、数据泄露和其他网络威胁至关重要。在确保软件安全方面起着关键作用的两种实践是软件供应链安全和软件组合分析 （SCA）。 虽然这两种做法是相关的，但它们并不相同，了解它们之间的差异对于有效保护软件供应链非常重要。…

作者：TOMISLAV PERICIN 对于组织来说，更多地了解他们所依赖的软件供应链以及保护它们所需的步骤至关重要。在过去几年中，我们看到恶意行为者利用软件供应链中的漏洞来促进对组织的攻击。但是，重要的是要记住，这些攻击并不是一个新现象。事实上，它们已经存在了几十年。因此，保护我们所依赖的软件的需求并不新鲜，尽管业界将注意力转向这个问题。 软件供应链攻击也…

作者：Vishal Garg 软件供应链攻击在过去几年中迅速增加，包括SolarWinds和Log4Shell在内的一些备受瞩目的事件提高了人们对它们对网络安全构成的潜在风险的认识。 这些攻击引起了公共和私营部门的广泛关注，因此，美国总统于 2021 年 5 月 12 日发布了一项关于改善国家网络安全的行政命令，其中有一个部分专门致力于改善软件供应链安全。 …

在数字化的现代时代，供应链网络攻击的威胁日益严重，对各行各业和各个规模的组织构成了即将到来且隐蔽的威胁。去年，供应链攻击占所有违规行为的19%，显示出其惊人的威力。进入2023年，像三月份臭名昭著的3CX黑客攻击这样的重大事件进一步证明了加强供应链网络安全的必要性。 那么，是什么让供应链成为攻击者的诱人目标呢？云技术的增长和数字化先导战略的采用使得供应链变得…

软件供应链风险管理（SSCRM）是指识别、评估和减轻与集成到软件产品中的第三方软件组件和服务相关的风险的过程。SSCRM包括了解这些组件可能产生的潜在漏洞，并采取措施减少对软件系统或最终用户的利用或损害的风险。 为什么软件供应链攻击越来越普遍 由于几个因素，软件供应链攻击变得越来越普遍： 供应链安全和DevSecOps DevSecOps是一种将安全性整合到…

开源软件是指软件源代码可以被共享和公共使用的软件。在人们享受开源软件的便捷性和广泛性同时，一旦发生开源软件安全漏洞，其危害程度大、波及范围广，将造成较大安全隐患，从而使对开源软件的治理成为一项重要内容。本文在分析开源软件安全风险的基础上，对国外开源软件安全治理模式进行研究，对我国开源软件安全治理工作存在的不足展开反思，基于以上研究，就如何更好地保障我国开源软…

先说结论 今年大型攻防演练的观感： 1. 大量的国产商业软件供应链厂商的大量商业软件0day被用来攻击（以安全产品、OA、cms、办公软件为主） 2. 社工+钓鱼又玩出了新花样（红队这帮人估计去电诈团队培训回来的？） 3. 开源软件的Nday/0day漏洞及投毒仍然很实用（更多是Nday漏洞有更成熟的利用工具用来打点和内网渗透）未来攻防趋势判断： 1. 未来…

前言 当你在当地的杂货店购买包装好的食品时，你可能会检查上面列出的成分列表，以了解其中含有什么，确保你不会不经意地摄入你不希望吃的成分或已知对健康有不良影响的成分。但当你购买或使用软件产品时，你是否也有这样的思考方式？你是否清楚地了解构成该软件的各个组件，并知道其中是否有任何已知的漏洞？如今的典型软件应用都是使用许多开源软件库和可重复使用的第三方代码构建的。…

作者：Taylor Lehmann、Seth Rosenblatt 诊断和治疗慢性疼痛可能是复杂的、困难的，对患者和医生来说充满了不确定性。根据患者的状况和医生的知识水平，做出正确的诊断需要时间，可能还需要尝试不同的治疗方法。 这种反复试验的过程可能使患者陷入痛苦和困惑的境地，直到能够开出最佳的药方。这种情况类似于许多当今安全运营团队所面临的日常挑战。 站在…

本文整理自 OSCS 软件供应链安全技术论坛- 章华鹏老师开场致辞的分享内容。 章华鹏，十二年的企业安全建设、安全社区白帽子、开发者，先后在百度、贝壳负责过企业安全建设 ，也在乌云负责过安全产品，业余时间活跃于安全技术社区，帮助企业、开源项目、软件公司解决过数百个严重安全问题，现在负责墨菲安全和 OSCS 社区，专注于软件供应链安全方向。 软件供应链安全的概…