2021年中国软件供应链安全分析专题 2021年6月2日,奇安信代码安全实验室发布《2021年中国软件供应链安全综合分析报告》。 行业热议 《2021中国软件供应链分析报告》:供应链安全是一个长期持续的系统工程 安全运营 奇安信集团 2021-06-02 《报告》认为,软件供应链安全管理是一个系统工程,需要长期持续的建设。 开源漏洞长期普遍存在,软件供应链挑战我国关基设施安全 趋势 虎符智库账号 2021-06-02 开源软件是供应链攻击重点,我国亟需构建多层次的软件供应链安全风险发现、分析、处置、防护能力,提升安全管理水平。 开源包托管服务存在的供应链安全问题 安全运营 安全学术圈 2021-01-16 大规模测量了当前主流的三个开源包托管平台(PyPi, Npm, RubyGems)上的代码, 并检出了339个新型恶意软件包。 从PhpStudy用户被植入后门看我国ICT供应链安全 专家观察 网络靖安司 2019-09-25 建议完善健全ICT供应链安全管理法律或条款,提高供应链监测水平,构建完善的供应链监管体制,以应对来自软硬件方面的网络安全威胁。 Apiiro斩获RSAC2021创新沙盒冠军,供应链安全受热捧 安全会议 互联网安全内参 2021-05-20 Apiiro宣传可以发现和阻止类似SolarWinds的供应链攻击。 攻击案例 热门代码测试工具Codecov被黑数月,FBI紧急调查事件影响 互联网 cnBeta 2021-04-18 美国联邦调查人员正在探查总部位于旧金山的软件审计公司Codecov的黑客入侵事件,Codecov的代码测试软件在整个科技行业被用来帮助测试代码的错误和漏洞。 PHP的Git服务器被黑客入侵,源代码被插入后门代码 网络攻击 黑鸟 2021-03-29 如果有定期更新PHP源代码习惯的同学记得检查一二,防止被供应链攻击。 攻防最前线:伪造pip/npm软件包侵入顶级公司内网 网络攻击 量子位 2021-02-11 只需要制造虚假的pip、npm软件包,就可以轻松攻破微软、苹果、特斯拉、PayPal、Yelp等数十家科技公司服务器。 击穿美政府网络、影响核安全,金链熊攻击令多少美国机构沦陷? 政务 互联网安全内参 2020-12-18 根据多方媒体报道汇总,目前新确认感染SolarWinds的机构包括美国国务院、国防部、国土安全部、能源部国家核安全局、美国国立卫生研究院等。 章鱼扫描器:一种攻击开源供应链的恶意软件 病毒木马 安全牛 2020-06-03 GitHub上的大量NetBeans代码库被恶意软件章鱼扫描器(Octopus Scanner)感染成为传染点,章鱼扫描器是专门为感染NetBeans项目而设计的后门。 应对措施 面向安全管理、开发两大场景,奇安信发布供应链安全解决方案 互联网 奇安信集团 2021-06-02 奇安信集团解决方案中心宣布推出面向软件供应链安全的整体解决方案,助力企业加强供应链安全建设。 知悉、预防、修复:谷歌提出开源软件漏洞治理框架 安全运营 互联网安全内参 2021-02-22 开源软件安全问题的解决方案需要对执行过程中的挑战和合作达成共识,为此我们提出了一个框架:知悉、预防、修复。 为增强供应链安全,美国将设立“国家供应链完整性之月” 政务 代码卫士 2021-04-02 最近针对美国行业和政府的软件供应链攻击应当被视为行动号角。 美国网络空间日光浴室委员会发布ICT供应链保护策略 国家安全 赛博研究院 2020-10-20 白皮书敦促美国采取措施保护关键信息和技术(ICT),免受来自中国和其他对手国家的供应链风险。