最佳实践

本文整理自 OSCS 软件供应链安全技术论坛- 章华鹏老师开场致辞的分享内容。 章华鹏，十二年的企业安全建设、安全社区白帽子、开发者，先后在百度、贝壳负责过企业安全建设 ，也在乌云负责过安全产品，业余时间活跃于安全技术社区，帮助企业、开源项目、软件公司解决过数百个严重安全问题，现在负责墨菲安全和 OSCS 社区，专注于软件供应链安全方向。 软件供应链安全的概…

本次分享由墨菲安全联合创始人&研发负责人宇佰超于 9 月 26 日快手安全沙龙中分享，本次主题《软件供应链安全体系、方法与落地》，文末附本次分享视频链接，欢迎大家查阅分享，如有任何欢迎联系我们一起交流讨论～ 随着国家 IT 及信息化的推广与普及、IT 行业的快速发展，软件供应链体系愈发的成熟。企业软件开发与信息化建设过程中，涉及与使用到的供应链比重越…

本文整理自 OSCS 软件供应链安全技术论坛- 边立忠（京蛰）老师的分享《蚂蚁供应链安全建设实践》完整内容。 边立忠，蚂蚁集团高级安全专家，蚂蚁集团应用安全产品中台负责人，主要负责蚂蚁 SCA、IAST、SAST、镜像安全扫描等供应链安全相关产品的建设和技术研究。 大家好，我是边立忠，很高兴今天有机会给大家做一个软件供应链安全相关的分享。 我在蚂蚁主要负责 …

前言 Log4j2作为java代码项目中广泛使用的开源日志组件，它的一个严重安全漏洞对于全球的软件供应链生态来讲不亚于一场新冠病毒的影响，任何企业的代码项目沾上它都有可能给企业带来致命的安全风险。 全球新一轮的产业数字化升级对开源软件的依赖日益提升，从而催生开源生态的蓬勃发展，而开源软件的全球化和开放共享的特性使得任何一个非常底层和基础的开源组件的漏洞都有可…

每个软件都存在供应链，然而现代软件大部分代码都是开源的，这意味着任何人都可以访问和编辑。但是软件平台的安全取决于其最薄弱的环节，安全漏洞可能随时出现，因此技术领导者必须建立监控和保护供应链中每个环节方案和动作。福布斯技术委员会给出应对软件供应链安全的14条明智的策略，为开发者、企业的安全建设带来思考和建议。 承包商在建造建筑物的时候，会按照计划和流程去采购使…