墨菲安全

近日，墨菲未来科技（北京）有限公司荣获《国家信息安全漏洞库（CNNVD）技术支撑单位等级证书》，正式成为 CNNVD 技术支撑单位之一。 墨菲安全能够通过国家信息安全漏洞库（CNNVD）的技术支撑能力考查，依托于核心团队具备超过十年的企业安全建设、安全漏洞研究及安全攻防经验，以及长期在漏洞分析研究、安全能力建设上的积累。 未来，墨菲安全将凭借团队漏洞安全研究…

近日《信息安全技术 关键信息基础设施安全保护要求》国家标准正式发布，《要求》中更是从管理机制建立、采购管理、网络产品和设备提供者的责任义务与产品及服务的风险控制方面对供应链安全提出了具体要求。 背景 2022年11月7日，GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》国家标准在京发布，作为推荐性标准将于2023年5月1日正式实施…

本文整理自 OSCS 软件供应链安全技术论坛- 章华鹏老师开场致辞的分享内容。 章华鹏，十二年的企业安全建设、安全社区白帽子、开发者，先后在百度、贝壳负责过企业安全建设 ，也在乌云负责过安全产品，业余时间活跃于安全技术社区，帮助企业、开源项目、软件公司解决过数百个严重安全问题，现在负责墨菲安全和 OSCS 社区，专注于软件供应链安全方向。 软件供应链安全的概…

郭雪，中国信通院云大所开源和软件安全部副主任 我从2015年开始做开源，到了2020年从开源往上追溯看到软件安全更多的内容，但当前的软件安全现状，大家更多关注渗透测试、代码审计的内容，而针对软件透明度跟踪比较少，所以我从开源入口开始关注到软件供应链安全当前存在的问题。 软件供应链安全研究背景 接下来我将以信通院的角度来说说什么是软件供应链安全，以及需要怎么做…

本文整理自 OSCS 软件供应链安全技术论坛- 谭中意老师分享的《OpenChain-企业软件开源合规国际标准介绍》完整内容。 谭中意，第四范式架构师，开源专家，OpenChain 中国工作组联合创始人，在 Sun、Baidu、腾讯等有超过 20 年开源研发、治理、运营相关经验。 大家好我是谭中意，现在是第四范式公司架构师，也是企业智能化转型开源社区&#82…

本文整理自 OSCS 软件供应链安全技术论坛- 边立忠（京蛰）老师的分享《蚂蚁供应链安全建设实践》完整内容。 边立忠，蚂蚁集团高级安全专家，蚂蚁集团应用安全产品中台负责人，主要负责蚂蚁 SCA、IAST、SAST、镜像安全扫描等供应链安全相关产品的建设和技术研究。 大家好，我是边立忠，很高兴今天有机会给大家做一个软件供应链安全相关的分享。 我在蚂蚁主要负责 …

本文整理自 OSCS 软件供应链安全技术论坛- 欧阳强斌老师的分享《技术驱动——打造最实用的软件供应链安全工具》完整内容。 欧阳强斌 墨菲安全联合创始人、墨菲安全实验室负责人， 大家好，我是欧阳强斌，来自墨菲安全专注在软件供应链安全领域的一家创新公司。很高兴能够在这里分享我们对软件供应链安全的理解，以及我们以技术驱动的产品实践。 软件供应链安全并不新鲜 19…

Apache Commons JXPath 是一个 XPath 表达式语言的简单解释器。JXPath 将 XPath 表达式应用于各种类型的对象如: JavaBeans、 Maps、 Servlet contexts 和 DOM 等，对于喜欢 XML 风格 API 的开发者来说 JXPath 是一个高效的工具。 近期有安全研究者通过 oss-fuzz 发现 …

前言 近期美国和欧盟都发布了新的供应链安全相关要求法案，要求厂商评估供应链数字化产品的安全性，此举旨在保护供应链安全，防止SolarWinds 等安全事件的再次发生。 美国和欧盟在各自的法案都提到了软件安全检测，软件物料清单(SBOM)等内容，这意味着通过强制性的网络安全法规要求，企业必须通过披露SBOM、源代码安全检测等手段提升数字化产品安全性，才能继续正…

漏洞简述 OneDev 是开源的一体化轻量DevOps平台，在OneDev 7.4.14及以前版本中存在路径遍历漏洞，具有项目管理权限的攻击者可以将恶意 jar 文件上传到 lib 目录，覆盖原有jar包，攻击者可利用此漏洞在服务器中写入任意文件或远程执行恶意代码。 漏洞分析 问题代码分析 项目管理员可以在 OneDev 的`build`模块对自己的一个项目…