最佳实践

《漏洞及投毒情报应用实践指南》发布 2025 年，明确存在恶意行为的开源包超过 5 万个；蠕虫化投毒事件能在 24 小时内波及上万仓库；NVD 中 30% 以上的影响范围标注存在错误或缺失，直接扫描修复只会把研发淹没在误报里；漏洞从公开披露到攻击者开始利用，窗口已从”天”压缩至”小时&#822…

《安全度量最佳实践2026版》发布 在企业安全建设不断走向体系化、经营化的当下，越来越多安全团队开始面临同一个现实问题：安全工作做了很多，但很难用管理层听得懂、业务方愿意配合、组织内能够持续复用的方式表达出来。 很多企业并不缺漏洞数据、告警数据和工单数据，真正缺的是一套统一的安全度量语言。 向上汇报时，管理层听到的是漏洞数量、拦截次数、修复率。 向下推进时，…

《开源安全治理最佳实践2026版》发布 2025年，新增开源漏洞42万+条，日均超过1,000个；59,000+个恶意投毒组件被识别，增幅超50%；53%的企业代码库存在许可证冲突；攻击者5天内开始扫描，企业修复却平均需要55天。 这组数据背后，反映的不是单一漏洞管理问题，而是一个更加系统性的现实：当开源成为软件底座，开源安全治理能力也必须成为企业安全建设的…

写在前面 这篇最佳实践的内容取材于互联网、金融、运营商、智能制造、能源等领域数十家头部企业在过去近三年时间的实践经验总结，在编写这篇最佳实践的2个多月过程中，我又收到将近20家企业的应用安全专家及安全负责人的高质量建议，这其中包括来自小米的piaca、月胜、涂鸦智能的刘龙威、快手的廖师傅及非零解、百度的长林、知乎的维祥及夜明、传化物流的国超、某支付的刘奇及山…

背景 开源软件安全威胁是近几年企业安全面临的主要威胁，也是企业应用安全方向讨论的热门话题，但是由于是新的需求新的方向，很多企业在观望，当前开展这项工作是否已经成熟，项目成功率如何？ 当新鲜事物产生时，首先我们应该积极的态度去拥抱它，但是它是不是真的值得我们投入（包括当下工作和未来个人技术成长），就需要客观的分析其必要性，同时结合自身情况了解它的可行性。 开源…

向外看：墨菲安全在软件供应链安全领域的一些洞察、思考、行动 洞察 现状&挑战： 正在发生的： 思考 为什么这么说？ 一个行业越成熟，那么其生产过程中供应链体系就越完善和标准化，比较典型的案例就是汽车的生产和制造； 以汽车生产和制造为例，这个行业非常成熟，因此其供应链体系也相当完善和标准化。以下是一些具体的表现： 总的来说，随着汽车生产和制造行业的成熟…

作者：Taylor Lehmann、Seth Rosenblatt 诊断和治疗慢性疼痛可能是复杂的、困难的，对患者和医生来说充满了不确定性。根据患者的状况和医生的知识水平，做出正确的诊断需要时间，可能还需要尝试不同的治疗方法。 这种反复试验的过程可能使患者陷入痛苦和困惑的境地，直到能够开出最佳的药方。这种情况类似于许多当今安全运营团队所面临的日常挑战。 站在…

墨菲安全在小米IoT安全峰会分享智能汽车安全解决方案 2022年6月30日，墨菲安全受邀参与小米IoT安全峰会，本次由墨菲安全联合创始人、墨菲安全实验室负责人、软件供应链安全开源项目murphysecurity主要贡献者欧阳强斌带来分享，智能汽车行业的软件供应链安全威胁与解决方案。 智能汽车涉及的三类供应链风险的场景 一、开源软件服务的风险 过去有数据统计，…

本文整理自 OSCS 软件供应链安全技术论坛- 欧阳强斌老师的分享《技术驱动——打造最实用的软件供应链安全工具》完整内容。 欧阳强斌 墨菲安全联合创始人、墨菲安全实验室负责人， 大家好，我是欧阳强斌，来自墨菲安全专注在软件供应链安全领域的一家创新公司。很高兴能够在这里分享我们对软件供应链安全的理解，以及我们以技术驱动的产品实践。 软件供应链安全并不新鲜 19…

郭雪，中国信通院云大所开源和软件安全部副主任 我从2015年开始做开源，到了2020年从开源往上追溯看到软件安全更多的内容，但当前的软件安全现状，大家更多关注渗透测试、代码审计的内容，而针对软件透明度跟踪比较少，所以我从开源入口开始关注到软件供应链安全当前存在的问题。 软件供应链安全研究背景 接下来我将以信通院的角度来说说什么是软件供应链安全，以及需要怎么做…