每个软件都存在供应链，然而现代软件大部分代码都是开源的，这意味着任何人都可以访问和编辑。但是软件平台的安全取决于其最薄弱的环节，安全漏洞可能随时出现，因此技术领导者必须建立监控和保护供应链中每个环节方案和动作。福布斯技术委员会给出应对软件供应链安全的14条明智的策略，为开发者、企业的安全建设带来思考和建议。 承包商在建造建筑物的时候，会按照计划和流程去采购使…

来自Phylum的安全研究员发现超过 450 个恶意 PyPI python 包会安装恶意浏览器扩展，来劫持基于浏览器的加密钱包和网站进行的加密货币交易。这些恶意的PyPI软件包从2022年11月开始活跃，一直持续到现在，并且数量从27个快速增加到451个。 这些软件包通过包名混淆进行攻击以此来推广，仿冒了一些受欢迎的软件包，但稍微改变了一些内容，例如更改或…

Joomla 在海外使用较多，是一套使用 PHP 和 MySQL 开发的开源、跨平台的内容管理系统(CMS)。Joomla 4.0.0 至 4.2.7 版本中的 ApiRouter.php#parseApiRoute 在处理用户的 Get 请求时为对请求参数有效过滤，导致攻击者可向 Joomla 服务端点发送包含 public=true 参数的请求

漏洞概要 Spring Cloud Gateway 是Spring Cloud 生态中的API网关，包含限流、过滤等API治理功能。 Spring官方在2022年3月1日发布新版本修复了Spring Cloud Gateway中的一处代码注入漏洞。当actuator端点开启或暴露时，可以通过http请求修改路由，路由中包含的恶意filter参数会经过SPEL…

背景 如今，软件供应链安全问题已经成为一个全球性的难题。根据数据统计，2017年全球遭受网络攻击的公司比例已经达到了93％，其中很大一部分是由于软件供应链安全问题导致的。而在中国，据统计，2019年全国共发生了2.7万起网络安全事件，其中不乏因软件供应链安全问题而导致的事件。 软件供应链安全问题的出现原因也较为复杂，包括第三方供应商的安全风险、源代码泄露、恶…

2023年2月16日，首届ICT软件供应链安全治理论坛暨信息通信软件供应链安全社区第二届成员大会在北京成功举办，多位业界顶级专家与工业和信息化部网络安全管理局相关领导出席，为现场观众分享了关于软件供应链可持续性与安全治理行业的前瞻与思考。会议期间，墨菲安全自主研发的【软件供应链安全管理平台】授予了自主研发创新成果奖。会议下午，墨菲安全协助中国移动举办分会场论…

威胁参与者已经向 Python 包索引（PyPI）发布了另一轮恶意软件包，目的是在受到威胁的开发人员机器上发布窃取信息的恶意软件。 有趣的是，尽管这个恶意软件有很多名字，比如ANGEL Stealer，Celestial Stealer，Fade Stealer，Leaf $tealer，PURE Stealer，Satan Stealer和@skid St…