技术科普

2018 年 11 月 15 日，美国国土安全部（DHS）宣布成立了信息和通信技术 (ICT) 供应链风险管理（SCRM）工作组，这个工作组是由美国多个政府部门、IT行业企业代表及通信行业企业代表联合成立的。该组织对外宣传的目标是识别和管理全球 ICT 供应链的风险。 之后该组织非常活跃，2024 年 2 月 6 日，该组织刚刚宣布将工作组延长两年。我们翻阅…

背景 开源软件安全威胁是近几年企业安全面临的主要威胁，也是企业应用安全方向讨论的热门话题，但是由于是新的需求新的方向，很多企业在观望，当前开展这项工作是否已经成熟，项目成功率如何？ 当新鲜事物产生时，首先我们应该积极的态度去拥抱它，但是它是不是真的值得我们投入（包括当下工作和未来个人技术成长），就需要客观的分析其必要性，同时结合自身情况了解它的可行性。 开源…

作者：Nurit Bielorai 随着个人和专业环境中对软件的依赖增加，软件供应链的安全性已成为一个关键问题。确保软件的安全性和质量对于防范数字攻击、数据泄露和其他网络威胁至关重要。在确保软件安全方面起着关键作用的两种实践是软件供应链安全和软件组合分析 （SCA）。 虽然这两种做法是相关的，但它们并不相同，了解它们之间的差异对于有效保护软件供应链非常重要。…

作者：TOMISLAV PERICIN 对于组织来说，更多地了解他们所依赖的软件供应链以及保护它们所需的步骤至关重要。在过去几年中，我们看到恶意行为者利用软件供应链中的漏洞来促进对组织的攻击。但是，重要的是要记住，这些攻击并不是一个新现象。事实上，它们已经存在了几十年。因此，保护我们所依赖的软件的需求并不新鲜，尽管业界将注意力转向这个问题。 软件供应链攻击也…

作者：Vishal Garg 软件供应链攻击在过去几年中迅速增加，包括SolarWinds和Log4Shell在内的一些备受瞩目的事件提高了人们对它们对网络安全构成的潜在风险的认识。 这些攻击引起了公共和私营部门的广泛关注，因此，美国总统于 2021 年 5 月 12 日发布了一项关于改善国家网络安全的行政命令，其中有一个部分专门致力于改善软件供应链安全。 …

在数字化的现代时代，供应链网络攻击的威胁日益严重，对各行各业和各个规模的组织构成了即将到来且隐蔽的威胁。去年，供应链攻击占所有违规行为的19%，显示出其惊人的威力。进入2023年，像三月份臭名昭著的3CX黑客攻击这样的重大事件进一步证明了加强供应链网络安全的必要性。 那么，是什么让供应链成为攻击者的诱人目标呢？云技术的增长和数字化先导战略的采用使得供应链变得…

软件供应链风险管理（SSCRM）是指识别、评估和减轻与集成到软件产品中的第三方软件组件和服务相关的风险的过程。SSCRM包括了解这些组件可能产生的潜在漏洞，并采取措施减少对软件系统或最终用户的利用或损害的风险。 为什么软件供应链攻击越来越普遍 由于几个因素，软件供应链攻击变得越来越普遍： 供应链安全和DevSecOps DevSecOps是一种将安全性整合到…

开源软件是指软件源代码可以被共享和公共使用的软件。在人们享受开源软件的便捷性和广泛性同时，一旦发生开源软件安全漏洞，其危害程度大、波及范围广，将造成较大安全隐患，从而使对开源软件的治理成为一项重要内容。本文在分析开源软件安全风险的基础上，对国外开源软件安全治理模式进行研究，对我国开源软件安全治理工作存在的不足展开反思，基于以上研究，就如何更好地保障我国开源软…

先说结论 今年大型攻防演练的观感： 1. 大量的国产商业软件供应链厂商的大量商业软件0day被用来攻击（以安全产品、OA、cms、办公软件为主） 2. 社工+钓鱼又玩出了新花样（红队这帮人估计去电诈团队培训回来的？） 3. 开源软件的Nday/0day漏洞及投毒仍然很实用（更多是Nday漏洞有更成熟的利用工具用来打点和内网渗透）未来攻防趋势判断： 1. 未来…

前言 当你在当地的杂货店购买包装好的食品时，你可能会检查上面列出的成分列表，以了解其中含有什么，确保你不会不经意地摄入你不希望吃的成分或已知对健康有不良影响的成分。但当你购买或使用软件产品时，你是否也有这样的思考方式？你是否清楚地了解构成该软件的各个组件，并知道其中是否有任何已知的漏洞？如今的典型软件应用都是使用许多开源软件库和可重复使用的第三方代码构建的。…