摘要:
引言 近日,全球网络安全行业创新风向标RSAC创新沙盒公布了本年度入围十强的名单,软件供应链安全企业Endor Labs凭借基于依赖关系建立应用开发生命周期的解决方案获得了广泛关注。 Endor Labs简介 Endor Labs成立于2021年,是一家专注供应链安全管理的美国公司,并于去年十月获得 阅读全文
摘要:
据腾讯2022年第三季度财报,仅微信就已有近5亿个小程序,DAU(日活用户)也已经突破了6亿;除却激增的用户量,2022年使用云开发的小程序开发者也突破了300万。比起其他应用,由框架主体和框架页面组成的小程序相对容易上手。想解锁新技能、做出下一款“狼了个狼”吗?这些开源项目可以助你走出新手村、开启 阅读全文
摘要:
OpenSCA知识小课堂开课了! 今天主要介绍基于composer包管理器的组件成分解析原理。 composer介绍 composer是PHP的依赖管理工具。 开发者受到Node.js的npm及Ruby的bundler启发,composer设计上与两者有诸多相似。 composer的依赖管理文件是c 阅读全文
摘要:
随着容器、微服务等新技术的快速迭代,开源软件已成为业界主流形态,开源和云原生时代的到来导致软件供应链越来越趋于复杂化和多样化,网络攻击者开始采用软件供应链攻击作为击破关键基础设施的的重要突破口,从而导致软件供应链的安全风险日益增加。 ——《DevSecOps敏捷安全》 一. 开源风险治理为何如此重要 阅读全文
摘要:
本文主要介绍基于npm包管理器的组件成分解析原理。 npm介绍 npm(全称Node Package Manager)是Node.js标准的软件包管理器。 npm的依赖管理文件是package.json,开发者可以在package.json中指定每个依赖项的版本范围。 如果一个项目中存在packag 阅读全文
摘要:
现代软件都是组装的而非纯自研。随着开源组件在数字化应用中的使用比例越来越高,混源开发已成为当前业内主流开发方式。开源组件的引入虽然加快了软件开发效率,但同时将开源安全问题引入了整个软件供应链。软件组成成分的透明性成为软件供应链安全保障的基础,SBOM(Software Bill of Materia 阅读全文
摘要:
JavaScript组件依赖解析逻辑 阅读全文