行业资讯

每个软件都存在供应链，然而现代软件大部分代码都是开源的，这意味着任何人都可以访问和编辑。但是软件平台的安全取决于其最薄弱的环节，安全漏洞可能随时出现，因此技术领导者必须建立监控和保护供应链中每个环节方案和动作。福布斯技术委员会给出应对软件供应链安全的14条明智的策略，为开发者、企业的安全建设带来思考和建议。 承包商在建造建筑物的时候，会按照计划和流程去采购使…

来自Phylum的安全研究员发现超过 450 个恶意 PyPI python 包会安装恶意浏览器扩展，来劫持基于浏览器的加密钱包和网站进行的加密货币交易。这些恶意的PyPI软件包从2022年11月开始活跃，一直持续到现在，并且数量从27个快速增加到451个。 这些软件包通过包名混淆进行攻击以此来推广，仿冒了一些受欢迎的软件包，但稍微改变了一些内容，例如更改或…

AIGC将成为重要的软件供应链 近日，OpenAI推出的ChatGPT通过强大的AIGC（人工智能生产内容）能力让不少人认为AI的颠覆性拐点即将到来，基于AI将带来全新的软件产品体验，而AI也将会成为未来软件供应链中非常重要的一环。 在OpenAI的文档中，例举了可以利用其实现的48种应用场景，人们在积极探索如何将以ChatGPT为代表的AI能力应用到各行各…

Gartner认为软件供应链攻击是2022年的主要的威胁来源，有人将2022年称为软件供应链安全元年，是新上任CIO的首要工作，越来越多开发者、安全研究人员在关注软件供应链安全。 我们通过梳理漏洞和开源组件数量变化、相关的漏洞风险事件、法规和标准、产品能力关注点，来对软件供应链安全这一领域进行回顾。 可以看到： 我们观察发现在软件供应链安全产品能力上，除了基…

11月以来信息通信软件供应链安全社区开展了“软件供应链优秀成果案例”征集评审活动，在 12 月 16 日的结果公示中，墨菲安全软件供应链安全管理平台本次成功入选自主研发创新成果。这是对墨菲安全长期专注在软件供应链安全领域的成果认可，我们也将加强行业技术交流分享，持续推出优秀产品和实践成果，助力我国软件供应链安全治理水平的高质量发展。 墨菲安全软件供应链安全管…

近日，墨菲未来科技（北京）有限公司荣获《国家信息安全漏洞库（CNNVD）技术支撑单位等级证书》，正式成为 CNNVD 技术支撑单位之一。 墨菲安全能够通过国家信息安全漏洞库（CNNVD）的技术支撑能力考查，依托于核心团队具备超过十年的企业安全建设、安全漏洞研究及安全攻防经验，以及长期在漏洞分析研究、安全能力建设上的积累。 未来，墨菲安全将凭借团队漏洞安全研究…

近日《信息安全技术 关键信息基础设施安全保护要求》国家标准正式发布，《要求》中更是从管理机制建立、采购管理、网络产品和设备提供者的责任义务与产品及服务的风险控制方面对供应链安全提出了具体要求。 背景 2022年11月7日，GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》国家标准在京发布，作为推荐性标准将于2023年5月1日正式实施…

6月21日，海淀区举办中关村科学城重点项目签约发布活动。本次活动主要围绕关键核心技术“揭榜挂帅”等3项落实、中关村新一轮先行先试改革措施、2项加速医药健康产业发展措施发布、全国首个临床医学概念验证中心揭牌以及24个中关村科学城重点项目集中签约等内容为主，为全力以赴推动复工复产、用好用足中关村新一轮先行先试改革红利。 海淀区委书记王合生，区委副书记、代区长李俊…

前言 Log4j2作为java代码项目中广泛使用的开源日志组件，它的一个严重安全漏洞对于全球的软件供应链生态来讲不亚于一场新冠病毒的影响，任何企业的代码项目沾上它都有可能给企业带来致命的安全风险。 全球新一轮的产业数字化升级对开源软件的依赖日益提升，从而催生开源生态的蓬勃发展，而开源软件的全球化和开放共享的特性使得任何一个非常底层和基础的开源组件的漏洞都有可…