软件供应链

全国信息安全标准化技术委员会归口的国家标准《信息安全技术 软件产品开源代码安全评价方法》现已形成标准征求意见稿。 本文件给出了软件产品中的开源代码安全评价目标、评价指标体系和评价方法，评价指标体系涵盖开源代码来源、开源代码质量、开源代码知识产权和开源代码管理能力。 标准文本下载: https://pan.baidu.com/s/1Kw2GsrOoWDfa7r…

2022年11月7日，市场监管总局、中央网信办、公安部网络安全局在京联合召开《信息安全技术 关键信息基础设施安全保护要求》（GB/T 39204-2022）国家标准发布宣贯会。 标准提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护3项基本原则。从分析识别、安全防护、检测评估、监测预警、主动防御…

《信息安全技术—ICT供应链安全风险管理指南》（GB/T 36637-2018）是2019年5月1日实施的一项中国国家标准，归口于全国信息安全标准化技术委员会。 《信息安全技术—ICT供应链安全风险管理指南》（GB/T 36637-2018）规定了ICT供应链的安全风险管理过程和控制措施，适用于重要信息系统和关键信息基础设施的ICT供方和运营者对ICT供应链…

先说结论 今年大型攻防演练的观感： 1. 大量的国产商业软件供应链厂商的大量商业软件0day被用来攻击（以安全产品、OA、cms、办公软件为主） 2. 社工+钓鱼又玩出了新花样（红队这帮人估计去电诈团队培训回来的？） 3. 开源软件的Nday/0day漏洞及投毒仍然很实用（更多是Nday漏洞有更成熟的利用工具用来打点和内网渗透）未来攻防趋势判断： 1. 未来…

2022年9月30日，全国信息安全标准化技术委员会归口的国家标准《信息安全技术 软件供应链安全要求》现已形成标准征求意见稿。 本文件给出了软件供应链安全保护目标，规定了软件供应链组织管理和供应活动管理的安全要求。 标准文本下载：https://pan.baidu.com/s/1NvAjVmrUMUjOyu-YOCTVSA 提取码: 324a

SBOM（软件构建物料清单）还不足够：开发人员需要通过使用二进制源验证的过程深入了解软件的构建方式。 美国黑帽 – 拉斯维加斯 – 8月9日星期三，开源OWASP的依赖检查项目的创始人和负责人提出了一种解决软件供应链安全问题的方法，使用了一种名为二进制源验证的新颖过程。 长期从事软件开发的ServiceNow首席工程师和OWASP专家…

墨菲安全在小米IoT安全峰会分享智能汽车安全解决方案 2022年6月30日，墨菲安全受邀参与小米IoT安全峰会，本次由墨菲安全联合创始人、墨菲安全实验室负责人、软件供应链安全开源项目murphysecurity主要贡献者欧阳强斌带来分享，智能汽车行业的软件供应链安全威胁与解决方案。 智能汽车涉及的三类供应链风险的场景 一、开源软件服务的风险 过去有数据统计，…

本文整理自 OSCS 软件供应链安全技术论坛- 欧阳强斌老师的分享《技术驱动——打造最实用的软件供应链安全工具》完整内容。 欧阳强斌 墨菲安全联合创始人、墨菲安全实验室负责人， 大家好，我是欧阳强斌，来自墨菲安全专注在软件供应链安全领域的一家创新公司。很高兴能够在这里分享我们对软件供应链安全的理解，以及我们以技术驱动的产品实践。 软件供应链安全并不新鲜 19…

郭雪，中国信通院云大所开源和软件安全部副主任 我从2015年开始做开源，到了2020年从开源往上追溯看到软件安全更多的内容，但当前的软件安全现状，大家更多关注渗透测试、代码审计的内容，而针对软件透明度跟踪比较少，所以我从开源入口开始关注到软件供应链安全当前存在的问题。 软件供应链安全研究背景 接下来我将以信通院的角度来说说什么是软件供应链安全，以及需要怎么做…

本文整理自 OSCS 软件供应链安全技术论坛- 章华鹏老师开场致辞的分享内容。 章华鹏，十二年的企业安全建设、安全社区白帽子、开发者，先后在百度、贝壳负责过企业安全建设 ，也在乌云负责过安全产品，业余时间活跃于安全技术社区，帮助企业、开源项目、软件公司解决过数百个严重安全问题，现在负责墨菲安全和 OSCS 社区，专注于软件供应链安全方向。 软件供应链安全的概…