GitMore-优快云博客

原创漏洞检测与EPSS评分

当使用 VEX 时，供应商为漏洞分配一个状态(受影响的，未受影响的，正在调查的，或固定的)以及一个状态理由。这一模式将包括CVSS和EPSS，但也包括一长串额外的背景风险因素，这些因素共同说明漏洞被利用的可能性以及一旦确实被利用时的影响，从而提供一个更加全面和基于风险的优先排序和问题管理办法。通过提供可利用性可能性的客观测量，EPSS 与其他外部数据点如 CVSS (通用漏洞评分系统)和 VEX (漏洞可利用性 exchange)一起，可以成为漏洞优先级排序的有价值的输入。

2023-11-22 08:48:49 1700

原创如何在 SDLC 中使用SBOM

今天，我们看到更多的企业开始优先使用软件材料清单(SBOM)。但是对于许多人来说，SBOM 主要是作为一个可选项生成的，在SDLC全流程中很难看到作用。这就错过了在整个软件开发生命周期(SDLC)中集成 SBOM 的重要机会。通过正确的步骤，组织可以利用 SBOM 数据来理解和管理各种风险，包括软件供应链安全性和开源许可证遵从性。本文中，我将介绍我们在UniSCA中看到的帮助组织使用 SBOM 在整个软件开发生命周期中管理风险的工具、过程和策略。

2023-11-13 10:35:00 275

原创 SBOM 指南: 是什么及其作用

行政命令指示联邦机构“发布最低限度的SBOM标准”，并界定有关“直接向购买者提供软件材料清单(SBOM)或向公共网站发布”的标准这项行政命令正在整个行业产生连锁反应，因为向美国联邦政府出售软件的供应商将越来越需要为他们提供的软件提供 SBOM。例如，对于他们购买或构建的每个软件应用程序都有一个全面的SBOM的组织可以立即识别新的零日漏洞的影响，例如 Log4j中的Log4Shell漏洞，并识别其确切位置以便更快地修复。通常，漏洞扫描是一个术语，用于发现基于以前公布的漏洞报告的软件的已知安全问题。

2023-11-06 14:33:08 722

原创开源许可证-定义、类型和比较

但是，如果 MPL 代码保存在单独的文件中，没有任何修改，派生工作可以与非 MPL 代码结合起来创建一个更大的工作，只有 MPL 部分的代码必须与软件一起发布。这个许可协议是由那些只是想让他们的软件公开可用的人选择的，他们不需要制定任何关于如何使用它的规则，但是出于法律原因必须包含一个许可协议。有这么多类型的开放源码许可证，而且几乎都是以不那么容易理解的方式编写的，因此选择正确的许可证可能是一件棘手的事情。许可证，比如 MIT 许可证和 BSD 许可证，对软件的使用、修改和发布施加了最小的限制。

2023-10-31 10:53:04 1462

原创 SBOM实例基础元素分析

有时候，SBOM (软件材料清单)更多的是理论上的，而不是实际的。

2023-10-19 09:26:55 305

原创 SPDX 3.0内容初探

您还可以创建一个新的、单独的“文档”，该文档在以前定义的元素之间引入新的关系ーー这是对现有 SBOM 进行额外分析时的常见场景。: 这个概要旨在交流关于“用于软件或训练/测试 AI 软件包”的数据集的信息建议的配置文件包括诸如“数据集类型”(如图像、文本或多模态)、“数据集大小”(以字节为单位)和“数据集可用性”(数据集是否可供公众下载或在表单后关闭)等字段。在 SPDX 3.0中引入新的概要文件将与一个新的所需数据字段相一致，该字段用于交流 SBOM 描述的概要文件。例如，一个包可能是另一个包的依赖项。

2023-08-29 14:33:41 279

原创软件供应链的基础:SBOM

供应链攻击是针对应用程序组件的供应商而不是应用程序本身的恶意攻击。软件供应链类似于物理供应链。当你购买 iPhone 时，你看到的只是成品。在最终产品的背后，是一个由零部件供应商组成的复杂网络，这些供应商随后被组装在一起，生产 iPhone。来自日本公司的显示器和相机镜头，来自亚利桑那州的 CPU，来自圣地亚哥的调制解调器，来自加拿大矿山的锂离子电池;所有这些部件在深圳组装工厂组装成最终产品，然后直接运到你的家门口。

2023-08-03 11:15:46 302

原创 CVSS4.0将于2023年底正式发布

这就是版本4.0可以提供帮助的地方，也是为什么它的重复使用，甚至重新评估先前在 SDLC 中评估的漏洞，应该是有益的。此外，CVSS v4.0引入了新的度量标准，捕捉风险的其他方面，例如成功攻击的潜在后果，包括对脆弱系统(VC，VI，VA)和后续系统(SC，SI，SA)的影响的明确评估。作为回应，FIRST推出了CVSS v4.0，这是一个重要的修订版，提供了更简单、更灵活、更准确的评分。通过考虑更广泛的因素，包括开发的可能性和成功攻击的潜在影响，CVSS v4.0旨在提供更全面和准确的漏洞评估。

2023-06-25 10:03:50 513

原创使用CodeAnt查找并修复IDE中的开源漏洞与许可证合规问题

不断加快的开发步伐正在将软件安全的责任转移到开发人员的桌面上，但是处理在下游构建和测试中检测到的安全问题可能是非常具有破坏性的。直至报告漏洞的时候，开发人员已经转移到他们的下一个任务。为了修复问题，他们必须中断正在做的事情，然后返回，重新打开代码，进行修复，然后重新测试。更糟糕的是，他们还需要离开他们的主要工具 IDE (交互式开发环境)来分析问题并确定潜在的修复方案。所有这些工具和场景切换极大的扼杀了开发人员的生产力。CodeAnt开发安全平台现已发布CodeAnt IDE Plugin以解决此问题。

2023-06-08 10:15:07 673

原创 hash值——软件中的唯一标识符

hash值——软件中的唯一标识符

2023-03-21 09:24:14 1330

原创警惕：2023年每月新增1900个危险漏洞

比2022年增长13%，其中高危漏洞270个、严重高危漏洞155个。

2023-02-08 10:25:27 532

原创 UniSCA漏洞优先级排序

如何有效地对漏洞进行优先排序？

2023-01-04 10:30:02 779

原创 UEFI固件使用OpenSSL暴露了软件材料清单（SBOM）

Binarly REsearch团队近日深入研究了最近的OpenSSL安全更新给UEFI固件供应链生态系统带来怎样的影响以及OpenSSL版本在固件环境中是如何广泛使用的。

2022-12-13 09:05:10 498

原创微软S2C2F框架已被OpenSSF开源安全体系采用

S2C2F自2019年提出后，一直作为微软的一项内部倡议，直至此次被OpenSSF采用，它专注于开发集成人员对开源软件(OSS)使用的安全。

2022-11-29 09:36:35 402

原创一种在行末隐藏有效载荷的新供应链攻击技术研判

近期，Phylum检测到数十个新发布的Pypi软件包执行供应链攻击

2022-11-22 09:36:45 249

原创 DevSecOps-你需要知道的一切

在过去的几年中，DevSecOps 已经成为 DevOps 生态系统中最热门的流行词之一。

2022-11-07 10:28:10 800

原创 OpenSSL 针对2个新的高严重性漏洞发布补丁

OpenSSL 项目在其广泛使用的加密库中推出了包含两个高严重性缺陷的修复程序，这两个缺陷可能导致拒绝服务(DoS)和远程代码执行。

2022-11-02 10:02:59 416

原创谷歌推出开源计划GUAC,保护软件供应链安全

Graph for Understanding Artifact Composition (GUAC) 将软件安全元数据聚合到一个高保真图数据库中——规范化实体身份并映射它们之间的标准关系。查询此图表可以推动更高级别的组织成果，例如审计、政策、风险管理，甚至开发人员协助。

2022-10-27 19:46:51 1803

原创美国政府备忘录中的软件自我认证

该备忘录指示政府机构要求软件供应商自行证明他们已经遵守了NIST安全软件开发指南，机构在使用新软件之前必须获得该软件的自我认证。

2022-09-29 10:26:11 478

原创如何在软件供应链中验证第三方二进制组件

您是否将第三方软件集成到您的应用程序或产品中？您是否知道这个第三方软件是否存在已知漏洞？

2022-09-22 09:08:45 412

原创 NIST SP 800-161r1中的C-SCRM

今年5月初，NIST更新了关于整个网络供应链管理安全风险的建议。这份名为SP 800-161r1的文件中重点关注了C-SCRM（网络软件安全供应链风险管理实践）。

2022-09-15 09:38:19 1440

原创如何在你的开源项目中添加开源许可证

如何将许可证分配给开源项目？

2022-09-13 09:12:23 1557

原创软件供应链安全中的SSDF框架到底是什么？

NIST 创建了所谓的安全软件开发框架(SSDF)，它描述了一组基于已建立的标准、指导和安全软件开发实践文档的高级实践。或者简单地说，SSDF是一套成熟的SDLC标准模型。

2022-09-07 10:16:04 1258

原创管理Java依赖关系的最佳实践

据不完全统计，在一个Java应用程序中，依赖项约占二进制文件的80%-90%。因此，依赖的安全性和可靠性对于Java开发来说，是一个无法规避且十分重要的考量。在本文中，我们将为您提供一些处理Java依赖关系的建议以及自动化工具的最佳实践。

2022-09-02 10:48:14 541

原创软件供应链安全：每个环节都很重要

供应链活动包括将原材料、组件和资源转化为成品的每一步，以及将其交付给最终客户。

2022-08-30 09:19:48 993

原创详解安全测试工具：SAST、DAST、IAST、SCA的异同

安全测试工具分为两类：自动化安全测试工具和手工安全测试。而自动化安全测试工具现在市场细分已经非常完善，有诸如SAST、SCA等等工具。手工安全测试一般则指的是渗透测试。

2022-08-25 08:55:29 5469

原创揭开CVSS的神秘面纱

CVSS（TheCommon Vulnerability Scoring System通用漏洞评分系统）是一个行业标准，由FIRST.org编写并更新。

2022-08-19 08:56:27 4005

原创 SCA（软件成分分析）中的知识图谱技术

软件成分分析（SCA）中的知识图谱技术优点：软件依赖分析，漏洞追踪预警，软件组件隔离，专家修复建议

2022-08-09 10:30:41 1303

原创 GitLab 计划删除免费账户中的休眠项目

GitLab 表示，如果某项目已经一年没有活动，并且其用户属于其免费层，该项目就将被自动删除。

2022-08-04 14:01:39 228

原创多因子SCA检测：源代码SCA和二进制SCA的异同

多因子SCA检测：源代码SCA和二进制SCA的异同

2022-08-03 10:15:50 381

原创 Spring爆出“核弹”级0day高危漏洞

Spring官方日前在github上更新了一条可能导致命令执行漏洞的修复代码，该漏洞目前在互联网中已被成功验证。研究机构将该漏洞评价为高危级。对于应用JDK版本号为9及以上的企业，建议尽快开展Spring框架使用情况的排查与漏洞处置工作。......

2022-07-29 08:54:34 1082

原创软件成分分析（SCA）详述

SCA是什么？SCA的分类？SCA的分级？SCA的流程？怎么选择SCA工具？

2022-07-26 11:03:04 1768 1

原创 CVE是什么？

CVE的相关基础知识

2022-07-21 10:06:19 2275

原创保障汽车行业的软件供应链安全

在本文中，我们将探讨一些汽车行业的软件供应链安全风险问题，这些风险预计就随着持续的技术创新而不断出现，最后我们将介绍SCA如何帮助汽车公司解决这些问题。

2022-07-18 09:20:41 545

原创详解SBOM清单：要素、用例和工具

在本文中，我们将探讨与SBOM相关的所有内容，包括构成要素、优点、用例和工具模板。

2022-07-14 11:51:01 1102

原创详解Copyleft license

在本文中，我们将详细讨论copyleft license，包括它的历史，与permissivelicense的区别，以及强copyleft和弱copyleft的具体区别。

2022-07-11 14:43:16 728

原创构建开源供应链安全的软件物料清单（SBOM)

今天，开发人员频繁的在开源软件库的基础上构建web 应用程序。然而，尽管这些库构成了软件物料清单（SBOM）组件库，但并非所有开发人员和业务涉及者都理解第三方库对开源供应链安全的重大影响。考虑到这一点，我们有必要对此进行详细的探讨。...

2022-07-08 09:29:18 1851 1

原创 GitLab远程代码执行漏洞风险提示(CVE-2022-2185)

近日， GitLab 官方发布了安全公告，修复了 GitLab 社区版（CE）和企业版（EE）中的一个远程代码执行漏洞（CVE-2022-2185），CVSS 评分 9.9，该漏洞源于授权用户可以导入恶意制作的项目导致远程代码执行,成功利用此漏洞的攻击者可获得服务器权限。目前官方已发布安全版本，建议受影响的用户尽快采取安全措施。...

2022-07-05 08:52:16 4372

原创有关DevOps你需要知道的所有

DevOps定义、DevOps概述、DevOps流程、DevOps优点、DevOps与DevSecOps、DevOps实践、微服务、DevOps文化

2022-07-01 17:37:12 267

原创开源协议概述和SCA解决方案

开源协议概述：什么是开源协议？开源协议的类型？常用的开源协议有哪些？他们有什么异同？怎么用SCA工具规避开源风险？国产本地化SCA工具，CodeAnt开发安全平台

2022-06-29 10:41:13 352

空空如也

空空如也