摘要:
2024年4月,悬镜供应链安全情报中心在NPM官方仓库和Pypi官方仓库上共捕获772个不同版本的恶意组件包 阅读全文
摘要:
为了更好地满足用户的需求,提升OpenSCA的实用性和易用性并促进社区的发展,我们决定发起一项用户调研活动,诚挚邀请您的参与。 阅读全文
摘要:
结合社区用户反馈及研发小伙伴的积极探索, OpenSCA 项目组再次发力,SaaS版本重大升级啦! 用户的需求是OpenSCA前进的动力,欢迎更多感兴趣的朋友们积极试用和反馈~ 更 新 内 容 1全面接入云脉XSBOM供应链安全情报 2强大的资产全局管理页面 更 新 说 明 1.云脉XSBOM供应链 阅读全文
摘要:
概述 近日(2024年4月25号),悬镜供应链安全情报中心在Pypi官方仓库(https://pypi.org/)中捕获1起CStealer窃密后门投毒事件,投毒者连续发布6个不同版本的恶意Py包multiplerequests,目标针对windows平台python开发者,该恶意包在安装时会远程加 阅读全文
摘要:
random被称为“最低调的悬镜头号黑客”。网络攻防对抗从来都是不确定的,“看得清,跟得上,防得住”是做供应链安全情报的重任所在。 阅读全文
摘要:
按照下述教程快速批量扫描您的仓库,一旦新的攻击或 0Day 出现,通过资产清单即可快速定位漏洞及影响范围、有效缩短响应时间。 安装 opensca-cli 方法一:一键安装 -Windows(需要 PowerShell) iex "&{$(irm https://raw.githubusercont 阅读全文
摘要:
概述 悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库,结合程序动静态分析方法对潜在风险的开源组件包进行分析和监测,捕获大量开源组件恶意包投毒攻击事件。2024 年 1 月份,悬镜供应链安全情报中心在 Npm 官方仓库(https://www.npmjs.com/)和 Pypi 官方仓库( 阅读全文
摘要:
概述 本周(2024年02月19号),悬镜供应链安全情报中心在NPM官方仓库(https://npmjs.com)中发现多起NPM组件包投毒事件。攻击者利用包名错误拼写方式 (typo-squatting)在NPM仓库中连续发布9个不同版本的恶意包,试图通过仿冒合法组件(ts-patch-mon 阅读全文
摘要:
概述 本周(2024年01月15号),悬镜供应链安全实验室在Pypi官方仓库(https://pypi.org/)中捕获1起Py包投毒事件,投毒者利用包名错误拼写(typo-squatting)的攻击方式来仿冒谷歌开源的tensorflow机器/深度学习框架,投毒攻击目标锁定AI开发者。 截至目前, 阅读全文
摘要:
继Jenkins和Gitlab CI之后,GitHub Action的集成也安排上啦~ 若您解锁了其他OpenSCA的用法,也欢迎向项目组来稿,将经验分享给社区的小伙伴们~ 参数说明 参数 是否必须 描述 token ✔ OpenSCA云漏洞库服务token,可在OpenSCA官网获得 proj ✖ 阅读全文