行业研究

本文整理自 OSCS 软件供应链安全技术论坛- 章华鹏老师开场致辞的分享内容。 章华鹏，十二年的企业安全建设、安全社区白帽子、开发者，先后在百度、贝壳负责过企业安全建设 ，也在乌云负责过安全产品，业余时间活跃于安全技术社区，帮助企业、开源项目、软件公司解决过数百个严重安全问题，现在负责墨菲安全和 OSCS 社区，专注于软件供应链安全方向。 软件供应链安全的概…

写在前面 自从和几个小伙伴一起创办墨菲安全以来，有一年半多的时间了，创业对于我来说，很有意思的一个地方，就是有机会可以和各行各业很多非常有意思的人一起交流，在这个交流的过程中能够不断的提升自己的认知，以我自己创业之前的经历来说，我接触的大多都是互联网和互联网安全这个圈子的人，而现在有很多机会去接触到更多行业的客户和合作伙伴，可以有机会去了解不同行业的业务、安…

前言 Log4j2作为java代码项目中广泛使用的开源日志组件，它的一个严重安全漏洞对于全球的软件供应链生态来讲不亚于一场新冠病毒的影响，任何企业的代码项目沾上它都有可能给企业带来致命的安全风险。 全球新一轮的产业数字化升级对开源软件的依赖日益提升，从而催生开源生态的蓬勃发展，而开源软件的全球化和开放共享的特性使得任何一个非常底层和基础的开源组件的漏洞都有可…

近日《信息安全技术 关键信息基础设施安全保护要求》国家标准正式发布，《要求》中更是从管理机制建立、采购管理、网络产品和设备提供者的责任义务与产品及服务的风险控制方面对供应链安全提出了具体要求。 背景 2022年11月7日，GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》国家标准在京发布，作为推荐性标准将于2023年5月1日正式实施…