软件供应链

一个未知的威胁行为者正在利用恶意的npm软件包来针对开发人员，目的是从受害者的机器中窃取源代码和配置文件，这显示了威胁在开源代码库中持续存在的迹象。 软件供应链安全公司Checkmarx在与The Hacker News分享的一份报告中表示：“与此次攻击活动相关的威胁行为者可以追溯到2021年的恶意活动。从那时起，他们不断发布恶意软件包。” 最新的报告是Ph…

在数字化的现代时代，供应链网络攻击的威胁日益严重，对各行各业和各个规模的组织构成了即将到来且隐蔽的威胁。去年，供应链攻击占所有违规行为的19%，显示出其惊人的威力。进入2023年，像三月份臭名昭著的3CX黑客攻击这样的重大事件进一步证明了加强供应链网络安全的必要性。 那么，是什么让供应链成为攻击者的诱人目标呢？云技术的增长和数字化先导战略的采用使得供应链变得…

软件供应链风险管理（SSCRM）是指识别、评估和减轻与集成到软件产品中的第三方软件组件和服务相关的风险的过程。SSCRM包括了解这些组件可能产生的潜在漏洞，并采取措施减少对软件系统或最终用户的利用或损害的风险。 为什么软件供应链攻击越来越普遍 由于几个因素，软件供应链攻击变得越来越普遍： 供应链安全和DevSecOps DevSecOps是一种将安全性整合到…

Thehackernews 发文称一名涉嫌与中国有关的黑客组织利用最近披露的巴拉克达网络电子邮件安全网关（ESG）设备的零日漏洞，作为一项全球间谍活动的一部分，入侵了政府、军事、国防和航空航天、高科技行业以及电信领域。 追踪该活动的Mandiant公司将威胁行为称为“UNC4841”，并描述该威胁行为者“对防御措施高度敏感”，并能够主动调整其作案方式以保持对…

开源软件是指软件源代码可以被共享和公共使用的软件。在人们享受开源软件的便捷性和广泛性同时，一旦发生开源软件安全漏洞，其危害程度大、波及范围广，将造成较大安全隐患，从而使对开源软件的治理成为一项重要内容。本文在分析开源软件安全风险的基础上，对国外开源软件安全治理模式进行研究，对我国开源软件安全治理工作存在的不足展开反思，基于以上研究，就如何更好地保障我国开源软…

当像2023年的MOVEit黑客攻击这样的网络攻击成为全球新闻头条时，人们往往关注受影响的组织名称或受影响的人数。虽然这种关注是可以理解的，但对类似MOVEit攻击中发生的事情进行适当分析对于制定具体的网络安全措施以防止类似事件发生是有用的。 本文概述了MOVEit黑客攻击，并旨在为您的业务提供一些重要的可操作性结论。 什么是MOVEit黑客攻击？ 2023…

自2023年8月初以来，已在npm软件包存储库中发现了十多个恶意软件包，这些软件包具有部署名为Luna Token Grabber的开源信息窃取器的能力，可针对属于Roblox开发人员的系统进行攻击。 这个持续进行的攻击活动最早在8月1日被ReversingLabs发现，它使用伪装成合法软件包noblox.js的模块，noblox.js是一个用于创建与Rob…

全国信息安全标准化技术委员会归口的国家标准《信息安全技术 软件产品开源代码安全评价方法》现已形成标准征求意见稿。 本文件给出了软件产品中的开源代码安全评价目标、评价指标体系和评价方法，评价指标体系涵盖开源代码来源、开源代码质量、开源代码知识产权和开源代码管理能力。 标准文本下载: https://pan.baidu.com/s/1Kw2GsrOoWDfa7r…

2022年11月7日，市场监管总局、中央网信办、公安部网络安全局在京联合召开《信息安全技术 关键信息基础设施安全保护要求》（GB/T 39204-2022）国家标准发布宣贯会。 标准提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护3项基本原则。从分析识别、安全防护、检测评估、监测预警、主动防御…

《信息安全技术—ICT供应链安全风险管理指南》（GB/T 36637-2018）是2019年5月1日实施的一项中国国家标准，归口于全国信息安全标准化技术委员会。 《信息安全技术—ICT供应链安全风险管理指南》（GB/T 36637-2018）规定了ICT供应链的安全风险管理过程和控制措施，适用于重要信息系统和关键信息基础设施的ICT供方和运营者对ICT供应链…