摘要:
在过去的几年中,企业一直忙于应对远程办公模式下的安全要求。展望2023年,疫情局面将与过去3年大不相同。根据目前的趋势,未来一年的网络攻击的数量和严重程度都将增加,这将对各规模企业,尤其是未做好准备的企业产生重大影响。本文将结合 BlackBerry 2022威胁报告的关键结果,谈谈 CISO 们在 阅读全文
摘要:
GitOps 是一种自动化和管理基础架构和应用程序的模型,通过许多团队已经使用的相同 DevOps 最佳实践来形成的模型,例如版本控制、代码审查和 CI/CD 流水线。在实施 DevOps 时,我们找到了自动化软件开发生命周期的方法,但在基础设施设置和部署方面,仍然依靠手动过程。借助 GitOps, 阅读全文
摘要:
就像人际关系中人与人之间的关系一样,软件生态系统中包含一个庞大的关系网络。其中一些联系非常深入,而有一些关系则更为表面。但实际上,现代基于开源的软件开发涉及一个极其庞大的依赖关系树,依赖关系层层叠加,同时涉及和包含已知或未知的风险。 Endor Labs 最近的一份报告发现,95% 的易受攻击的依赖 阅读全文
摘要:
业内权威机构 Synopsys 称,2022 年软件质量问题可能使美国经济损失 2.41 万亿美元。 根据报告调查结果显示,截至 2022 年,薄弱的软件质量造成的问题包括——因现有漏洞造成的网络攻击、涉及软件供应链相关的复杂安全问题,以及快速积累的技术债务日益增长的影响。 该报告强调了软件质量问题 阅读全文
摘要:
随着软件供应链攻击的显著增加,以及 Log4j 漏洞带来的灾难性后果和影响,软件供应链面临的风险已经成为网络安全生态系统共同关注的最重要话题之一。根据业内权威机构 Sonatype 发布的2022软件供应链现状报告,在过去三年中,针对上游开源代码存储库的恶意活动,旨在将恶意软件植入软件组件的攻击数量 阅读全文
摘要:
源代码是所有软件开发公司最宝贵的资产之一。因此,如果源代码被盗或泄露,可能会对企业的业务造成巨大损失。从长远来看,源代码盗窃可能会对企业的财务和声誉造成不可估量的损失。然而即便是行业领先的企业,也存在源代码被盗或泄露的风险。例如2004年微软 Windows 2000 的源代码被盗,再比如2019年 阅读全文
摘要:
开源供应链安全对大多数 IT 领导者来说是个日益严峻的挑战,围绕确保开发人员在构建软件时如何使用和管理开源软件 (OSS) 依赖项的稳健策略至关重要。Microsoft 发布安全供应链消费框架 (S2C2F) 是一个以消费为中心的框架,它使用基于威胁的风险降低方法来缓解开源软件 (OSS) 中的安全 阅读全文
摘要:
通用漏洞评分系统(CVSS)是当前应用最频繁的评分系统以评估安全漏洞的严重性。但是,由于该系统在评估漏洞和优先级排序方面存在不足而遭受批评。因此,有部分专业人士呼吁使用漏洞利用预测评分系统(EPSS)或将 CVSS 与 EPSS 结合来推动漏洞指标变得更加可执行和高效。与 CVSS 一样,EPSS 阅读全文
摘要:
在 Log4Shell 高危漏洞事件披露几乎整整一年之后,新的数据显示,对全球大多数组织来说,补救工作是一个漫长、缓慢、痛苦的过程。 根据漏洞扫描领先者 Tenable 公司的遥测数据来看,截至今年10月,超过70%被扫描的企业仍然受到 Log4shell 漏洞(CVE-2021-44228)的影响 阅读全文
摘要:
12月1日,软件供应链安全管理平台 SEAL 0.3 正式发布(以下简称“SEAL”),这是国内首个以全链路视角保护软件供应链的安全管理平台。两个月前 SEAL 0.2 发布,该版本创新性地提供了依赖项的全局汇总与关联,用户可以获得软件开发生命周期各个环节的可见性,进而以全局视角管理软件供应链。基于 阅读全文