极客观点
项目管理
HarmonyOS
OpenSCA社区
1
获赞数
2
关注数
1
粉丝数
IP 属地北京
2023-02-17 加入
浏览 2.3k
1 声望
安全漏洞
0
安全防护
0
开源
0
个人动态
- 发布了文章2024-02-29
供应链投毒预警 | 开源供应链投毒202401最新月报来啦!
悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库,结合程序动静态分析方法对潜在风险的开源组件包进行分析和监测,捕获大量开源组件恶意包投毒攻击事件。2024 年 1 月份,悬镜供应链安全情报中心在 Npm 官方仓库([链接])和 Pypi 官方仓库([链接])上共捕... - 发布了文章2024-02-29
供应链投毒预警 | 恶意NPM包利用Windows反向shell后门攻击开发者
本周(2024年02月19号),悬镜供应链安全情报中心在NPM官方仓库([链接])中发现多起NPM组件包投毒事件。攻击者利用包名错误拼写方式 (typo-squatting)在NPM仓库中连续发布9个不同版本的恶意包,试图通过仿冒合法组件(ts-patch-mongoose)来攻击潜在的NodeJS开发者。 - 发布了文章2024-02-29
技术文档 | 使用 OpenSCA 批量扫描 Gitlab 仓库,盘点资产安心过节
按照下述教程快速批量扫描您的仓库,一旦新的攻击或 0Day 出现,通过资产清单即可快速定位漏洞及影响范围、有效缩短响应时间。安装 opensca-cli方法一:一键安装 -Windows(需要 PowerShell) {代码...} Linux/MacOS {代码...} 方法二:使用包管理器安装Windows (通... - 发布了文章2024-01-22
供应链投毒预警 | 恶意Py包仿冒tensorflow AI框架实施后门投毒攻击
本周(2024年01月15号),悬镜供应链安全实验室在Pypi官方仓库([链接])中捕获1起Py包投毒事件,投毒者利用包名错误拼写(typo-squatting)的攻击方式来仿冒谷歌开源的tensorflow机器/深度学习框架,投毒攻击目标锁定AI开发者。截至目前,投毒者在Pypi仓库共发布5个不... - 发布了文章2024-01-18
技术文档 | 将OpenSCA接入GitHub Action,从软件供应链入口控制风险面
继Jenkins和Gitlab CI之后,GitHub Action的集成也安排上啦~若您解锁了其他OpenSCA的用法,也欢迎向项目组来稿,将经验分享给社区的小伙伴们~参数说明参数是否必须描述token✔OpenSCA云漏洞库服务token,可在OpenSCA官网获得proj✖用于同步检测结果至OpenSCA SaaS指定... - 发布了文章2023-12-29
技术文档 | 在Jenkins及GitlabCI中集成OpenSCA,轻松实现CI/CD开源风险治理
插播:OpenSCA-cli 现支持通过 homebrew 以及 winget 安装:Mac/Linux {代码...} Windows {代码...} 总有小伙伴问起如何在CI/CD中集成OpenSCA,文档它这不就来啦~若您解锁了其他OpenSCA的用法,也欢迎向项目组来稿,将经验分享给社区的小伙伴们~Jenkins在 Jenkins ... - 发布了文章2023-12-22
重磅发布|OpenSCA SaaS全新上线
第一次GitHub Star数量破百第一次获得用户贡献第一个中国自有数字供应链标准SBOM格式DSDX.......这些都是我们宝贵的共同回忆。 - 发布了文章2023-12-14
OpenSCA受邀出席2023 Open Compliance Summit
近日,由Linux基金会主办的2023 Open Compliance Summit(开放合规峰会,简称OCS)在日本东京隆重召开。悬镜安全旗下全球极客开源数字供应链安全社区OpenSCA受邀参与,OpenSCA社区运营负责人奇秋月以“Open Source Compliance & Security Management Based on SBOM”(... - 发布了文章2023-12-01
技术分享 | 不同格式标准SBOM清单横评:SPDX、CDX和DSDX
为了保证安全性、降低开发、采购及维护的相关成本,复杂动态的现代软件供应链对软件资产透明度提出了更高的要求。使用清晰的软件物料清单(SBOM)收集和共享信息,并在此基础上进行漏洞、许可证和授权管理等,可以揭示整个软件供应链中的弱点、提高软件供应链的透明... - 发布了文章2023-12-01
供应链安全情报 | 恶意py包伪装代理SDK进行后门攻击,目标锁定python开发者
2023年11月28号,悬镜供应链安全实验室在Pypi官方仓库([链接])监测到两起伪装成http和socks5代理SDK的开源组件投毒事件。python开发者一旦下载安装这些投毒Py包(libproxy、libsocks5),会触发执行Py包中的恶意代码,最终将导致开发者系统被投毒者植入恶意后门。... - 发布了文章2023-11-22
版本升级 | v3.0.0卷起来了!多种特殊情况解析轻松拿捏!
在过往发行版的基础上,结合社区用户提供的大量反馈及研发小伙伴的积极探索,项目组对OpenSCA的解析引擎做了全方位的优化,v3.0.0版本正式发布啦~ - 发布了文章2023-10-12
供应链安全情报 | cURL最新远程堆溢出漏洞复现与修复建议
cURL 是一个支持多种网络协议的开源项目,被广泛集成到自动化构建、网络测试、网络数据采集以及其他网络相关的任务中,备受开发者和系统管理员青睐。 - 发布了文章2023-09-19
安全情报 | Pypi再现窃密攻击投毒
悬镜安全自研的开源组件投毒检测平台通过对主流开源软件仓库(包括Pypi、NPM、Ruby等)发布的组件包进行持续性监控和自动化代码安全分析,同时结合专家安全经验复审,能够及时发现组件包投毒事件并精确定位恶意代码片段,捕获潜在的供应链投毒攻击行为。 - 发布了文章2023-09-18
推荐收藏!年度Top20开源许可证风险等级
开发人员经常在软件中引入开源的代码片段、函数、方法和操作代码。因此,软件代码中经常会包含各种声明不同许可证的子组件。这些子组件的许可证条款和条件与项目整体主许可证的条款和条件冲突时,就会产生许可证合规风险。 - 发布了文章2023-09-11
技术文档 | 免下载、0配置、多任务并发,在Docker Image中使用OpenSCA
想跳过下载步骤快速使用OpenSCA检测代码风险?想实现多个项目并发扫描?在Docker Image中使用OpenSCA即可轻松实现。一起来look look目的方便用户使用最新版本的 OpenSCA-cli保证环境的一致性,消除不同操作系统对结果的影响可以方便在本地维护不同版本的 OpenSCA-cli... - 发布了文章2023-09-04
版本升级 | 兼容VSCode及全系IDE,代码风险一键查询
OpenSCA插件上新啦~Jetbrains IDE插件全新升级,很多朋友提了需求的VSCode咱也支持上啦~当然,CEC-IDE也是兼容的(手动狗头)。 - 发布了文章2023-08-25
版本升级 | v1.0.13发布,传下去:更好用了
本次更新主要聚焦兼容性的提升及结果报告格式的增加,另外对部分解析逻辑及使用体验进行了优化。在这里特别鸣谢大佬@Hugo-X在社区仓库提交的PR~ - 发布了文章2023-08-17
大会回顾 | 有干货!有人气!有乐趣!
8月10日,2023 数字供应链安全大会(DSS 2023)在北京·国家会议中心隆重举办。大会由悬镜安全主办,ISC互联网安全大会组委会、中国软件评测中心(工业和信息化部软件与集成电路促进中心)、中国信息通信研究院云计算与大数据研究所、CCF计算机安全专业委员会、北京信... - 发布了文章2023-08-15
接头攻略 | 社区活动花样翻新,喜欢您来~
随着开发模式的敏捷化转型,开源代码在软件制品中的占比越来越大,开源软件已然成为软件供应链的重要组成部分。由于其特殊性,开源代码的引入增加了软件应用的风险面,增强了数字供应链安全的脆弱性,开源风险治理成为数字供应链安全治理中至关重要的一环。作为开源... - 发布了文章2023-07-26
叮~OpenSCA社区拍了拍您并发来一份开源盛会邀请函
2023数字供应链安全大会(DSS 2023)将于8月10日在北京·国家会议中心举办。本次大会以“开源的力量”为主题,由悬镜安全主办,ISC互联网安全大会组委会、中国软件评测中心(工业和信息化部软件与集成电路促进中心)、中国信息通信研究院云计算与大数据研究所、CCF计算...
标签得分
暂无数据
获得勋章
暂无数据
声望记录
暂无数据