摘要:
你可能或多或少在头条新闻中有看到过或了解过和软件供应链攻击相关的信息,比如 2020年的 SolarWinds 事件,再比如2021年的 Kaseya 事件(点击查看关联文章)。如果到目前为止你对软件供应链攻击尚不了解,那么这里有一个简要解释:当恶意代码在开发过程中被引入应用程序或软件程序,然后用于 阅读全文
摘要:
由于 DevOps 方法的广泛采用以及由此产生的快速产品交付和部署,许多部门已采用更敏捷的方法来开发生命周期。在满足市场速度和规模要求的同时,设计安全的软件一直是现代 IT 公司共同面临的问题。结果,超过 52% 的组织因为担心上市速度落后而放弃了安全性。 由于传统技术下的安全漏洞,生产版本也出现了 阅读全文
摘要:
近日,业内知名机构 Sonatype 在本月18号的 DevOps 企业大会上发布其年度软件供应链现状报告。本文为你总结该报告的关键信息,带你了解今年的软件供应链安全状况。 开源存储库攻击三年内飙升742% 根据报告显示,在过去三年中,针对上游开源代码存储库的恶意活动,旨在将恶意软件植入软件组件的攻 阅读全文
摘要:
随着 Kubernetes 的发展和改进,新的安全威胁和风险也逐渐向 K8s 转移,因此 K8s 安全性变得越来越重要,而保护 K8s 集群已成为 DevOps 团队不容忽视的重要任务。K8s 有多种实现类型(本地、云管理、混合等)、众多开源支持工具和各种配置设置,且保护运行容器工作负载的任何安全敏 阅读全文
摘要:
在之前的文章中(点击此处查看上一篇文章),我们了解了如何识别包含密钥的文件,将密钥添加到 .gitignore ,通过 git-secret 进行加密,以及将加密文件提交到存储库。在本篇文章中,将带你了解如何在 Docker 容器中设置 git-secret 和 gpg,通过 Makefile re 阅读全文
摘要:
原标题: New npm timing attack could lead to supply chain attacks 原文链接: https://www.bleepingcomputer.com/news/security/new-npm-timing-attack-could-lead-to 阅读全文
摘要:
开源软件无处不在。无论是哪个行业,每个企业都依赖软件来满足其业务需求。企业构建和使用的大多数应用程序在其代码中都包含开源元素。近几年软件行业逐渐迁移到云上,并且随着应用程序复杂性的增加,软件安全风险也随之增加。企业需要在其软件开发生命周期(SLDC)中实施开源依赖管理最佳实践,并选择正确的工具来管理 阅读全文
摘要:
在本篇文章中,我们将了解第三方服务的监管不足,工件完整性验证及日志可见性不足这三个关键 CI/CD 安全风险,并给出缓解相应风险的建议与措施。 第三方服务监管不足 CI/CD 攻击面包括企业资产,例如 SCM 和 CI,以及被授权访问这些资产的第三方服务。与不受监管地使用第三方服务有关的风险依赖于第 阅读全文
摘要:
随着现代软件开发越来越依赖于第三方资源,针对软件供应链的恶意攻击数量也随之激增。据业内权威机构 Gartner 预计,软件物料清单 (SBOM) 的采用率在 2025 年将会达到 60%。 Gartner 明确提醒软件开发企业及组织,如果想要在软件市场上保持良好的竞争力,准备好向客户提供 SBOM 阅读全文
摘要:
据 SAP 称,当今85%的安全攻击针对的是软件应用程序,因此一些列应用程序安全测试工具也应运而生。为了避免这些恶意攻击,企业通常使用应用程序安全测试工具来去缓解和解决安全风险,而不同的工具对应的使用方法和覆盖范围各不相同。本期文章,我们将会讨论 SAST 和 SCA 这两种类型的应用程序安全解决方 阅读全文