?聚焦源代碼安全,網(wǎng)羅國(guó)內(nèi)外最新資訊!
專欄·供應(yīng)鏈安全
數(shù)字化時(shí)代,軟件無處不在。軟件如同社會(huì)中的“虛擬人”,已經(jīng)成為支撐社會(huì)正常運(yùn)轉(zhuǎn)的最基本元素之一,軟件的安全性問題也正在成為當(dāng)今社會(huì)的根本性、基礎(chǔ)性問題。
隨著軟件產(chǎn)業(yè)的快速發(fā)展,軟件供應(yīng)鏈也越發(fā)復(fù)雜多元,復(fù)雜的軟件供應(yīng)鏈會(huì)引入一系列的安全問題,導(dǎo)致信息系統(tǒng)的整體安全防護(hù)難度越來越大。近年來,針對(duì)軟件供應(yīng)鏈的安全攻擊事件一直呈快速增長(zhǎng)態(tài)勢(shì),造成的危害也越來越嚴(yán)重。
為此,我們推出“供應(yīng)鏈安全”欄目。本欄目匯聚供應(yīng)鏈安全資訊,分析供應(yīng)鏈安全風(fēng)險(xiǎn),提供緩解建議,為供應(yīng)鏈安全保駕護(hù)航。
注:以往發(fā)布的部分供應(yīng)鏈安全相關(guān)內(nèi)容,請(qǐng)見文末“推薦閱讀”部分。
2023年7月24日,奇安信集團(tuán)對(duì)外發(fā)布《2023中國(guó)軟件供應(yīng)鏈安全分析報(bào)告》(以下簡(jiǎn)稱《報(bào)告》),深入分析了過去一年來國(guó)內(nèi)軟件供應(yīng)鏈中開源軟件應(yīng)用的安全狀況并附以典型案例加以說明,總結(jié)了開源軟件供應(yīng)鏈風(fēng)險(xiǎn)的趨勢(shì)和變化。奇安信代碼安全實(shí)驗(yàn)室通過數(shù)據(jù)分析發(fā)現(xiàn),與前兩年相比,開源軟件自身的安全狀況持續(xù)下滑,國(guó)內(nèi)企業(yè)軟件開發(fā)中因使用開源軟件而引入安全風(fēng)險(xiǎn)的狀況更加糟糕,開源軟件供應(yīng)鏈安全風(fēng)險(xiǎn)管控依然任重道遠(yuǎn)。
現(xiàn)將報(bào)告全文發(fā)布,方便閱讀或收藏。完整報(bào)告下載方式見文末。
掃一掃下方二維碼或點(diǎn)擊左下角“閱讀原文”,馬上下載報(bào)告→
開源衛(wèi)士試用地址:https://oss.qianxin.com
代碼衛(wèi)士試用地址:https://codesafe.qianxin.com
推薦閱讀
奇安信入選全球《軟件成分分析全景圖》代表廠商
奇安信入選全球《靜態(tài)應(yīng)用安全測(cè)試全景圖》代表廠商
奇安信發(fā)布《2023中國(guó)軟件供應(yīng)鏈安全分析報(bào)告》開源軟件供應(yīng)鏈的系統(tǒng)化安全治理需加速落地
在線閱讀版:《2022中國(guó)軟件供應(yīng)鏈安全分析報(bào)告》全文
在線閱讀版:《2021中國(guó)軟件供應(yīng)鏈安全分析報(bào)告》全文
Google Cloud Build 漏洞可使黑客發(fā)動(dòng)供應(yīng)鏈攻擊
OWASP發(fā)布五維軟件安全開發(fā)成熟度參考框架,提升軟件供應(yīng)鏈安全
給CISO的軟件供應(yīng)鏈債務(wù)償還指南
新型供應(yīng)鏈攻擊利用被棄的 S3 存儲(chǔ)桶分發(fā)惡意二進(jìn)制
速修復(fù)MOVEit Transfer 中的這個(gè)新0day!
MOVEit 文件傳輸軟件0day被用于竊取數(shù)據(jù)
MSI UEFI 簽名密鑰遭泄漏 恐引發(fā)“災(zāi)難性”供應(yīng)鏈攻擊
OilRig APT 組織或在中東地區(qū)發(fā)動(dòng)更多 IT 供應(yīng)鏈攻擊
“木馬源”攻擊影響多數(shù)編程語言的編譯器,將在軟件供應(yīng)鏈攻擊中發(fā)揮巨大作用
GitHub 在 “tar” 和 npm CLI 中發(fā)現(xiàn)7個(gè)高危的代碼執(zhí)行漏洞
流行的 NPM 包依賴關(guān)系中存在遠(yuǎn)程代碼執(zhí)行缺陷
速修復(fù)!熱門npm 庫 netmask 被曝嚴(yán)重的軟件供應(yīng)鏈漏洞,已存在9年
Npm 惡意包試圖竊取 Discord 敏感信息和瀏覽器文件
微軟“照片”應(yīng)用Raw 格式圖像編碼器漏洞 (CVE-2021-24091)的技術(shù)分析
速修復(fù)!熱門npm 庫 netmask 被曝嚴(yán)重的軟件供應(yīng)鏈漏洞,已存在9年
SolarWinds 供應(yīng)鏈?zhǔn)录螅绹?guó)考慮實(shí)施軟件安全評(píng)級(jí)和標(biāo)準(zhǔn)機(jī)制
找到軟件供應(yīng)鏈的薄弱鏈條
GitHub談軟件供應(yīng)鏈安全及其重要性
揭秘新的供應(yīng)鏈攻擊:一研究員靠它成功入侵微軟、蘋果等 35 家科技公司
開源軟件漏洞安全風(fēng)險(xiǎn)分析
開源OS FreeBSD 中 ftpd chroot 本地提權(quán)漏洞 (CVE-2020-7468) 的技術(shù)分析
集結(jié)30+漏洞 exploit,Gitpaste-12 蠕蟲影響 Linux 和開源組件等
限時(shí)贈(zèng)書|《軟件供應(yīng)鏈安全—源代碼缺陷實(shí)例剖析》新書上市
熱門開源CI/CD解決方案 GoCD 中曝極嚴(yán)重漏洞,可被用于接管服務(wù)器并執(zhí)行任意代碼
GitKraken漏洞可用于盜取源代碼,四大代碼托管平臺(tái)撤銷SSH密鑰
因服務(wù)器配置不當(dāng),熱門直播平臺(tái) Twitch 的125GB 數(shù)據(jù)和源代碼被泄露
彪馬PUMA源代碼被盜,稱客戶數(shù)據(jù)不受影響
題圖:Pixabay License
轉(zhuǎn)載請(qǐng)注明“轉(zhuǎn)自奇安信代碼衛(wèi)士 https://codesafe.qianxin.com”。
奇安信代碼衛(wèi)士 (codesafe)
國(guó)內(nèi)首個(gè)專注于軟件開發(fā)安全的產(chǎn)品線。文章來源:http://www.zghlxwxcb.cn/news/detail-612570.html
? ??覺得不錯(cuò),就點(diǎn)個(gè)?“在看” 或 "贊” 吧~文章來源地址http://www.zghlxwxcb.cn/news/detail-612570.html
到了這里,關(guān)于在線閱讀版:《2023中國(guó)軟件供應(yīng)鏈安全分析報(bào)告》全文的文章就介紹完了。如果您還想了解更多內(nèi)容,請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!