博客文章

保护软件产品的传统方法侧重于消除自定义代码中的漏洞并保护应用程序免受第三方依赖项中已知风险的影响。然而，这种方法是不够的，无法解决软件供应链带来的全部威胁。忽视保护该链条的各个方面，从生产到分销 […]

上个月，我在黑暗阅读中看到了这篇文章。看上去很眼熟。没过多久我就意识到文章中讨论的 GitHub 跨工作流工件中毒漏洞与我们在 2022 年 XNUMX 月报告的 GitHub 跨工作流缓存中毒漏洞非常相似。 GitHub 工作流 - GitHub 的关键组件[…]

随着越来越多地使用第三方组件和冗长的软件供应链，攻击者现在可以通过一次攻击同时破坏许多软件包。为了应对这种新的攻击媒介，更多的开发和 DevOps 团队以及安全专业人员正在寻求纳入软件物料清单 (SBOM)。软件供应链[...]

软件供应链面临的风险已成为网络安全生态系统讨论的最前沿。部分原因是这些供应链攻击的频率增加，但也因为它们发生时可能产生深远的影响。 2021 年的数据显示软件供应链攻击 [...]

全球软件供应链始终受到网络犯罪分子的威胁，他们威胁窃取敏感信息或知识产权并损害系统完整性。这些问题可能会影响商业公司以及政府安全可靠地向公众提供服务的能力。美国管理和预算办公室 (OMB) [...]

当三个美国政府机构联合起来“大力鼓励”开发者采取某些做法时，你应该注意了。 CISA、NSA 和 ODNI 认识到网络黑客的威胁并在 SolarWinds 攻击之后宣布，他们将联合发布一系列确保软件供应安全的建议 [...]

美国政府正在修改其网络安全政策。其中包括美国国家标准与技术研究院 (NIST) 发布的安全软件开发框架 (SSDF) 1.1 版，旨在减少整个软件开发生命周期 (SDLC) 中的安全漏洞。该文件为软件供应商和收购方提供了“[...]

在超过两打 NPM 软件包中发现了一种新的软件供应链攻击，旨在从应用程序和网站中提取数据。

GitGat 是一组用 Rego 编写的独立 OPA（开放策略代理）策略。 GitGat 评估您的 SCM 帐户的安全设置，并为您提供状态报告和可行的建议。

您不能信任供应商的签名产品和更新，并且您自己的代码可能已被修改或添加。那么，您可以做什么来真正确定您没有将恶意文件安装到您的系统中呢？