近期,CNNVD开展了2024年度(第一期)接报漏洞奖励评选工作,其中23个漏洞在国家网络安全漏洞预警及风险消控工作中发挥了积极作用,获得荣誉奖项。棱镜七彩凭借卓越的漏洞发现预警与应急处置能力,荣获两个二级贡献奖。“CNNVD漏洞奖励计划”面向对象是为CNNVD报送漏洞的企业、团队以及个人,奖励其报送的高质量漏洞。本计划以精神表彰与物质奖励相结合的方式,鼓励引导安全研究人员积极有序提交漏洞,共同提
国标《信息安全技术 软件供应链安全要求》确立了软件供应链安全目标,规定了软件供应链安全风险管理要求和供需双方的组织管理和供应活动管理安全要求。开源软件供应链作为软件供应链的一种特殊形式,该国标亦适用于指导开源软件供应链中的供需双方开展组织管理和供应活动管理,增强开源软件供应链组织管理和供应活动管理能力,防范供应链导致的开源软件产品及其生命周期中断类的供应关系风险,防止供应活动在开源软件及其生命周期
软件供应链安全管理是保护软件开发和交付过程中所有组件的安全性和完整性的重要环节,软件供应链安全国家标准及政策的发布,为企业软件供应链安全管理提供了依据。本文摘选自软件供应链安全推进工作组指导、苏州棱镜七彩信息科技有限公司主笔的《2023软件供应链安全研究报告》中第八章《保障软件供应链安全能力评估及安全管理实践》,旨在展示统信软件在相关制度下进行的软件供应链安全管理实践。统信软件作为基础软件供应商,
软件供应链安全管理是保护软件开发和交付过程中所有组件的安全性和完整性的重要环节,软件供应链安全国家标准及政策的发布,为企业软件供应链安全管理提供了依据。本文摘选自软件供应链安全推进工作组指导、苏州棱镜七彩信息科技有限公司主笔的《2023软件供应链安全研究报告》中第八章《保障软件供应链安全能力评估及安全管理实践》,旨在展示麒麟软件在相关制度下进行的软件供应链安全管理实践。2022年11月麒麟软件有限
据全国标准信息公共服务平台消息显示,棱镜七彩参与编制的《信息技术 开源 开源许可证框架》(GB/T 44272-2024)国家标准已于2024年8月23日正式发布,并将于2025年3月1日正式实施。这一标准的推出,标志着开源许可证在规范化发展道路上迈出了重要一步,有助于推动我国开源生态建设发展。《信息技术 开源 开源许可证框架》本文件提出了开源许可证的内容框架,规定了基本信息构成、序言构成、条款与
软件供应链安全管理是保护软件开发和交付过程中所有组件的安全性和完整性的重要环节,软件供应链安全国家标准及政策的发布,为企业软件供应链安全管理提供了依据。本文摘选自软件供应链安全推进工作组指导、苏州棱镜七彩信息科技有限公司主笔的《2023软件供应链安全研究报告》中第八章《保障软件供应链安全能力评估及安全管理实践》旨在展示华能集团在相关制度下进行的软件供应链安全管理实践。01华能集团采购活动中的供应链
在当今数字化时代,软件供应链安全已成为信息安全领域的重要议题,国内外政策与标准在这一领域的制定与实施,直接影响着软件供应链的安全管理与控制水平。作为《2023软件供应链安全研究报告》系列中的第三篇文章,本文将围绕国内外相关标准及政策相关内容,对部分单位在软件供应链管理方面的实践内容进行分享,并通过分析其中存在的突出问题给出相应对策与建议,为软件供应链的安全发展提供思路,助力企业应对数字化转型过程中
随着软件开发的复杂性和动态性不断增加,软件供应链的安全风险成为了一个亟需重视的重要议题,而在技术的飞速发展和广泛应用下,新质生产力相关领域同样存在着软件供应链安全方面的问题,作为《2023软件供应链安全研究报告》系列中的第二篇,本篇文章对软件供应链安全风险的原因进行深度解析并对新质生产力范畴中如人工智能、区块链、国产商用密码等重要技术的软件供应链安全问题进行了一定的探讨研究。软件供应链安全风险原因
软件已经成为支撑社会正常运转的基本元素,软件行业的蓬勃发展得益于大范围的分工合作以及由此产生的软件供应链,其中开源软件在软件供应链体系中扮演着重要角色。随着软件供应链的复杂性增加,开源安全成为更大的挑战。针对开源软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。因此,《2023软件供应链安全研究报告》被列为软件供应链安全推进工作组(以下简称“工作组”)的年度工作目标之一。在工作组
1、3,000 多个 GitHub 账户被黑客创建了窃取信息的恶意软件被称为“Stargazer Goblin”的威胁行为者从 GitHub 上的 3,000 多个虚假账户中创建了一种恶意软件分发即服务 (DaaS),这些账户会推送窃取信息的恶意软件,它利用 GitHub 存储库以及受感染的WordPress 网站来分发包含恶意软件的受密码保护的档案。在大多数情况下,恶意软件是信息窃取者,例如 R
1、Python 的 GitHub 核心资源库 token 意外曝光,风险巨大网络安全专家发现了意外泄露的 GitHub token,能以最高权限访问 Python 语言、Python 软件包索引(PyPI)和 Python 软件基金会(PSF)存储库。如果该 token 落入不法分子之手,其潜在破坏力将是巨大的,例如攻击者可以将恶意代码注入 PyPI 软件包(再升级所有 Python 软件包替换
1、CocoaPods 曝关键漏洞,数百万 macOS 和 iOS 应用程序面临供应链攻击风险开源依赖管理器 CocoaPods 中的安全漏洞暴露了数千个软件包,利用这些漏洞的攻击者可以将恶意代码注入合法应用,通过受信任的渠道分发恶意软件,并破坏用户数据,由于许多流行的应用程序都依赖于 CocoaPods,因此此类漏洞威胁到整个 iOS 和 macOS 生态系统,数百万 macOS 和 iOS 设
2024年7月4日,数说安全正式发布《2024年中国网络安全市场全景图》(以下简称全景图),棱镜七彩凭借专业的技术优势和产品创新实力再次上榜开发安全-软件成分分析(SCA)领域。据悉,本次全景图在各市场品牌收录上,采用了更为严格的录入标准,除了对相关资质、市场活跃度进行审核和分析外,同时也对企业的经营情况和可持续发展能力进行评估,尽最大可能保证在全景图中收录的品牌,是经过市场验证、拥有一定市场份额
1、MOVEit 被发现9.1 分高危漏洞,威胁全球 2700 多家组织MOVEit被发现9.1分重磅漏洞,有证据表明黑客已经利用该漏洞发起攻击。该漏洞存在于MOVEit 管理软件的 SFTP 模块中,一旦被攻击者利用可以绕过身份验证并获取敏感数据。在某安全公司进行的一次单独扫描中发现,全球已经有超过 2700 个组织和机构部署了该系统。Progress Software 公司目前已经发布了 20
1、IntelBroker 黑客声称入侵了苹果公司,窃取了内部工具的源代码黑客 IntelBroker 声称已经入侵了苹果公司,并窃取了AppleConnect-SSOC(AppleConnect-SSO是Apple公司内部单点登录和身份验证系统)、AppleMacro插件、苹果-HWE-Confluence-高级3个内部工具的源代码,但没有提供有关违规行为或被盗代码的具体目的的进一步细节。苹果方
6月18日,国家信息安全漏洞库(CNNVD)2023年度工作总结暨优秀表彰大会在中国信息安全测评中心成功举办。棱镜七彩凭借在漏洞方面的突出贡献和出色表现,被授予“2023年度优秀技术支撑单位”与“2023年度最佳新秀奖”。优秀技术支撑单位是国家信息安全漏洞库依据2023年度报送高质量原创漏洞、漏洞预警支撑数据,从众多企业中选取前20名进行表彰。棱镜七彩作为CNNVD一级技术支撑单位之一,本次获得年
1、纽约时报 GitHub 存储库凭据泄露,黑客窃走 270GB 内部机密 IT 文件据悉,安全公司检测到一名黑客在地下论坛中公开了一批据称是来自纽约时报的内部 IT 文件,其中包含 6200 多个文件夹,容纳约 360 万个 Tar 压缩文件,主要涉及 IT 文档、程序源码等内容。黑客描述,他一共获取了 270GB 内部数据,主要涉及纽约时报公司内部约 5000 个 GitHub 存储库。纽约时
1、Cox Biz 身份验证绕过使数百万台设备暴露于接管美国一家领先宽带提供商cox的基础架构中存在 授权绕过,如果被利用者不仅可以访问企业客户的个人身份信息 (PII),还可以访问 Wi-Fi 和连接设备上的信息,影响数百万企业客户设备。参考链接:://.darkreading./application-security/cox-biz-auth-b
5月24日,供应链成熟度与开源技术主题活动暨数字中国创新大赛·信创赛道全国总决赛颁奖仪式在福建福州成功举办。棱镜七彩“FOSSEye产品”,凭借在国产化支持、供应链成熟度、核心技术、功能体系、以及作品前景等多个维度的优异表现,荣获2024数字中国创新大赛•信创赛道全国总决赛行业贡献奖、苏州城市赛二等奖。信创赛道作为数字中国创新大赛的常设赛道,已历经五届,是全国首个以“国产化数字生态”为核心主题的创
随着开源软件的普及,许多软件开发项目都在使用开源组件来加速开发过程,这也导致开源漏洞风险逐渐增加,要想提升组件成分和代码的安全性,具备识别开源组件安全性和合规性能力的SCA也变得越来越重要。什么是SCA?软件成分分析(SCA)是一种用于分析和管理开源组件应用安全的方法。这种分析方法旨在识别软件系统中的各个组成部分,包括源代码、第三方库、框架、配置文件等,并对它们进行分类和描述。通过软件成分分析,可
据全国标准信息公共服务平台消息显示,《网络安全技术 软件供应链安全要求》(GB/T 43698-2024)国家标准已于2024年4月25日正式发布,并将于2024年11月1日正式实施。棱镜七彩作为主要编制单位之一参与该国家标准的编制,为行业发展贡献专业力量。《网络安全技术 软件供应链安全要求》(GB/T 43698-2024)本文件确立了软件供应链安全目标,规定了软件供应链安全风险管理要求和供需双
2024年4月28日至4月29日,由中国移动通信集团主办的2024中国移动算力网络大会在苏州金鸡湖国际会议中心成功召开,本次大会以“算力网络点亮AI新时代”主题,设置主论坛、分论坛、量子计算大赛、展览展示、参观交流等系列活动,深入展示了中国移动在算力网络领域的最新规划与核心能力。棱镜七彩作为中国移动重要合作伙伴受邀参会,与业界伙伴共同探讨算力网络的安全场景与发展趋势。随着互联网、大数据、云计算、人
近日,安全牛第十一版《中国网络安全行业全景图》(以下简称“全景图”)正式发布。棱镜七彩凭借专业技术实力和创新能力上榜全景图软件供应链安全-软件成分分析领域。据悉,本次第十一版全景图优先展现当前热门网络安全领域中具有较强市场竞争能力的网络安全厂商,突出安全产品体系中的重点安全产品与能力,提升了全景图的实用性、指导性和可阅读性。作为较早深耕软件供应链安全领域的厂商,棱镜七彩围绕软件成分分析、软件供应链
1、GitHub 上的恶意 Visual Studio 项目推送 Keyzetsu 恶意软件威胁行为者正在滥用 GitHub 自动化功能和恶意 Visual Studio 项目来推送“Keyzetsu”恶意软件的新变种并窃取加密货币付款。攻击者创建了GitHub 存储库,并使用各种方法来人为地提高其在平台上的受欢迎程度和知名度,从而在搜索结果中排名靠前,从这些存储库下载文件的用户会感染隐藏在Vis
1、GitHub遭遇严重的供应链“投毒”攻击,影响GG平台多年来,威胁行为者一直在使用多种策略、技术和程序 (TTP),包括劫持 GitHub账户、分发恶意 Python 包、使用虚假的 Python 基础设施以及社会工程进行攻击,最近的受害者之一是 Top.gg,这是一个流行的搜索和发现平台,拥有超过 170,000 名成员。本次 Top.gg Discord 机器人社区受到供应链攻击,该攻击旨
1、开源Xeno RAT特洛伊木马在GitHub上成为潜在威胁一种“设计复杂”的远程访问特洛伊木马(RAT),称为Xeno RAT已在GitHub上提供,使其他参与者可以轻松访问,无需额外费用。开源RAT是用C#编写的,与Windows 10和Windows 11操作系统兼容,RAT具有“远程系统管理的一整套功能”,它有一个构建器,可以创建恶意软件的定制变体。网络安全公司Cyfirma在上周发布的
1、AI生成代码对组织和软件供应链构成了重大风险根据Veracode最新发布的软件安全报告,42%的应用程序和71%的组织中普遍存在软件安全债务,而AI生成代码的激增将导致安全债务问题恶化并对软件供应链构成重大风险。更令人担忧的是,46%的组织持续存在高危漏洞,这些漏洞构成“关键”安全债务,使企业在机密性、完整性和可用性方面面临严重风险。报告称,63%的应用程序存在第一方代码漏洞,而70%包含通过
项目介绍Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件项目可以进行持续集成。Jenkins是开源CI&CD软件领导者, 提供超过1000个插件来支持构建、部署、自动化, 满足任何项目的需要。项目地址://.jenkins.io/zh/概述Jenkins 有一个内置的命令行界面CLI,
近日,棱镜七彩再次收到来自工业和信息化部电子第五研究所(简称“工信部电子五所”)的感谢信。信中对棱镜七彩在信创工作中给予的支持表示感谢,并对公司参与人员的辛勤付出予以了高度评价。工信部电子第五研究所是工业和信息化部直属单位,是中国最早从事可靠性研究的权威机构,也是专业的质量可靠性共性技术服务平台。工信部电子五所聚焦信创领域,带领上下游产业生态厂商,共同开展信创产品和应用的技术攻关,提升供应链安全保
Copyright © 2005-2024 51CTO.COM 版权所有 京ICP证060544号