?聚焦源代碼安全，網(wǎng)羅國(guó)內(nèi)外最新資訊！

專欄·供應(yīng)鏈安全

數(shù)字化時(shí)代，軟件無處不在。軟件如同社會(huì)中的“虛擬人”，已經(jīng)成為支撐社會(huì)正常運(yùn)轉(zhuǎn)的最基本元素之一，軟件的安全性問題也正在成為當(dāng)今社會(huì)的根本性、基礎(chǔ)性問題。

隨著軟件產(chǎn)業(yè)的快速發(fā)展，軟件供應(yīng)鏈也越發(fā)復(fù)雜多元，復(fù)雜的軟件供應(yīng)鏈會(huì)引入一系列的安全問題，導(dǎo)致信息系統(tǒng)的整體安全防護(hù)難度越來越大。近年來，針對(duì)軟件供應(yīng)鏈的安全攻擊事件一直呈快速增長(zhǎng)態(tài)勢(shì)，造成的危害也越來越嚴(yán)重。

為此，我們推出“供應(yīng)鏈安全”欄目。本欄目匯聚供應(yīng)鏈安全資訊，分析供應(yīng)鏈安全風(fēng)險(xiǎn)，提供緩解建議，為供應(yīng)鏈安全保駕護(hù)航。

注：以往發(fā)布的部分供應(yīng)鏈安全相關(guān)內(nèi)容，請(qǐng)見文末“推薦閱讀”部分。

2023年7月24日，奇安信集團(tuán)對(duì)外發(fā)布《2023中國(guó)軟件供應(yīng)鏈安全分析報(bào)告》（以下簡(jiǎn)稱《報(bào)告》），深入分析了過去一年來國(guó)內(nèi)軟件供應(yīng)鏈中開源軟件應(yīng)用的安全狀況并附以典型案例加以說明，總結(jié)了開源軟件供應(yīng)鏈風(fēng)險(xiǎn)的趨勢(shì)和變化。奇安信代碼安全實(shí)驗(yàn)室通過數(shù)據(jù)分析發(fā)現(xiàn)，與前兩年相比，開源軟件自身的安全狀況持續(xù)下滑，國(guó)內(nèi)企業(yè)軟件開發(fā)中因使用開源軟件而引入安全風(fēng)險(xiǎn)的狀況更加糟糕，開源軟件供應(yīng)鏈安全風(fēng)險(xiǎn)管控依然任重道遠(yuǎn)。

現(xiàn)將報(bào)告全文發(fā)布，方便閱讀或收藏。完整報(bào)告下載方式見文末。

---

掃一掃下方二維碼或點(diǎn)擊左下角“閱讀原文”，馬上下載報(bào)告→

---

開源衛(wèi)士試用地址：https://oss.qianxin.com

代碼衛(wèi)士試用地址：https://codesafe.qianxin.com

---

推薦閱讀

奇安信入選全球《軟件成分分析全景圖》代表廠商

奇安信入選全球《靜態(tài)應(yīng)用安全測(cè)試全景圖》代表廠商

奇安信發(fā)布《2023中國(guó)軟件供應(yīng)鏈安全分析報(bào)告》開源軟件供應(yīng)鏈的系統(tǒng)化安全治理需加速落地

在線閱讀版：《2022中國(guó)軟件供應(yīng)鏈安全分析報(bào)告》全文

在線閱讀版：《2021中國(guó)軟件供應(yīng)鏈安全分析報(bào)告》全文

Google Cloud Build 漏洞可使黑客發(fā)動(dòng)供應(yīng)鏈攻擊

OWASP發(fā)布五維軟件安全開發(fā)成熟度參考框架，提升軟件供應(yīng)鏈安全

給CISO的軟件供應(yīng)鏈債務(wù)償還指南

新型供應(yīng)鏈攻擊利用被棄的 S3 存儲(chǔ)桶分發(fā)惡意二進(jìn)制

速修復(fù)MOVEit Transfer 中的這個(gè)新0day！

MOVEit 文件傳輸軟件0day被用于竊取數(shù)據(jù)

MSI UEFI 簽名密鑰遭泄漏 恐引發(fā)“災(zāi)難性”供應(yīng)鏈攻擊

OilRig APT 組織或在中東地區(qū)發(fā)動(dòng)更多 IT 供應(yīng)鏈攻擊

“木馬源”攻擊影響多數(shù)編程語言的編譯器，將在軟件供應(yīng)鏈攻擊中發(fā)揮巨大作用

GitHub 在 “tar” 和 npm CLI 中發(fā)現(xiàn)7個(gè)高危的代碼執(zhí)行漏洞

流行的 NPM 包依賴關(guān)系中存在遠(yuǎn)程代碼執(zhí)行缺陷

速修復(fù)！熱門npm 庫 netmask 被曝嚴(yán)重的軟件供應(yīng)鏈漏洞，已存在9年

Npm 惡意包試圖竊取 Discord 敏感信息和瀏覽器文件

微軟“照片”應(yīng)用Raw 格式圖像編碼器漏洞 (CVE-2021-24091)的技術(shù)分析

速修復(fù)！熱門npm 庫 netmask 被曝嚴(yán)重的軟件供應(yīng)鏈漏洞，已存在9年

SolarWinds 供應(yīng)鏈?zhǔn)录螅绹?guó)考慮實(shí)施軟件安全評(píng)級(jí)和標(biāo)準(zhǔn)機(jī)制

找到軟件供應(yīng)鏈的薄弱鏈條

GitHub談軟件供應(yīng)鏈安全及其重要性

揭秘新的供應(yīng)鏈攻擊：一研究員靠它成功入侵微軟、蘋果等 35 家科技公司

開源軟件漏洞安全風(fēng)險(xiǎn)分析

開源OS FreeBSD 中 ftpd chroot 本地提權(quán)漏洞 (CVE-2020-7468) 的技術(shù)分析

集結(jié)30+漏洞 exploit，Gitpaste-12 蠕蟲影響 Linux 和開源組件等

限時(shí)贈(zèng)書|《軟件供應(yīng)鏈安全—源代碼缺陷實(shí)例剖析》新書上市

熱門開源CI/CD解決方案 GoCD 中曝極嚴(yán)重漏洞，可被用于接管服務(wù)器并執(zhí)行任意代碼

GitKraken漏洞可用于盜取源代碼，四大代碼托管平臺(tái)撤銷SSH密鑰

因服務(wù)器配置不當(dāng)，熱門直播平臺(tái) Twitch 的125GB 數(shù)據(jù)和源代碼被泄露

彪馬PUMA源代碼被盜，稱客戶數(shù)據(jù)不受影響

題圖：Pixabay License

轉(zhuǎn)載請(qǐng)注明“轉(zhuǎn)自奇安信代碼衛(wèi)士 https://codesafe.qianxin.com”。

奇安信代碼衛(wèi)士 (codesafe)

國(guó)內(nèi)首個(gè)專注于軟件開發(fā)安全的產(chǎn)品線。

? ??覺得不錯(cuò)，就點(diǎn)個(gè)?“在看” 或 "贊” 吧~文章來源地址http://www.zghlxwxcb.cn/news/detail-612570.html