势说新语
关注
分享
扫一扫
文章平均质量分 87
安势信息Sectrend
上海安势信息技术有限公司是国内先进的AI+软件供应链安全治理解决方案提供商,专注于构建完整的DevSecOps工具链,围绕软件全生命周期(SDLC),以AI、多维探测和底层引擎开发等为技术内核,先后推出一系列拥有完全自主知识产权的应用安全产品和解决方案:清源CleanSource SCA(软件成分分析)、清正CleanBinary (二进制代码扫描)、清流PureStream(AI数据治理平台)、清本CleanCode SAST(静态代码扫描)等。目前与多家高科技、汽车、半导体等头部企业达成长期战略合作。更多关于安势信息资讯,欢迎发送邮件至marketing@sectrend.com.c垂询。
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
开源重塑金融服务新生态|《2025年金融服务开源现状报告》深度解读与实践路径
2025年金融服务开源现状报告》清晰地表明,开源已成为金融服务行业数字化转型的必选项,而非可选项。从治理规范化到价值多元化,从技术聚焦到社区协同,金融开源正迈入高质量发展的新阶段。但安全合规风险、技能缺口、价值量化困难等挑战,仍需要专业的产品与解决方案提供支撑。原创 2025-11-10 18:09:31 · 1040 阅读 · 0 评论 -
IT、安全团队总扯皮?用SBOM管技术债,打破部门墙,存量资产风险降一半!
当企业通过 SBOM(软件物料清单)初步掌握了软件资产的“成分表”后,那已有的存量软件资产该如何有效管控?长期累积的“技术债”又该如何安全化解?原创 2025-10-10 15:38:39 · 691 阅读 · 0 评论 -
深度解析 | CISA 发布 2025 版 SBOM 最基本要素:软件供应链安全进入新阶段
美国CISA发布《软件物料清单(SBOM)最基础要素》2025版更新草案,这是自2021年NTIA标准以来的重大升级。新规强化了组件哈希值、许可证信息等关键字段,要求SBOM覆盖所有依赖项并区分"已知未知"信息。随着欧盟CRA法案、FDA新规等全球监管要求落地,SBOM正从可选实践转变为软件市场准入的强制要求。新标准特别关注SaaS和AI系统的特殊需求,同时强调SBOM与VEX等安全公告的联动,实现精准漏洞管理。中国企业需把握标准升级机遇,将SBOM纳入CI/CD流程,构建可信的软件供应原创 2025-09-24 17:30:02 · 698 阅读 · 0 评论 -
AI写代码时代,赢的不是写得快的企业,而是懂这个规则的...
AI写代码的「盛宴」与「隐雷」:代码能跑就行?合规才能赢原创 2025-09-08 14:33:27 · 573 阅读 · 0 评论 -
别让代码毁了低空经济!80%风险藏在第三方组件里
一架无人机的飞控系统、通信协议、云端管理平台,可能依赖成百上千个开源组件和第三方代码。只要其中一个组件被植入恶意程序,或者存在未修复的漏洞,就可能让整架无人机失控,甚至波及整个低空交通网络!原创 2025-08-21 10:43:22 · 572 阅读 · 0 评论 -
最易受攻击的五大开源组件!这些组件你用了吗?
本文为大家简单介绍了亚洲地区最易受攻击的五大开源组件,然而就不完全数据显示,很多大型企业的代码中开源代码占据了超过了50%的比例,相信这远远不止五个组件。原创 2024-01-18 15:48:58 · 2356 阅读 · 0 评论 -
AIGC的狂欢,代码安全的隐患。
放眼全球,在欧美地区Github Copilot甚至已经成为欧美程序员标配,这足以体现AIGC的强大生命力。但使用AIGC,却将AIGC代码安全问题抛诸脑后的企业比比皆是,这不得不引起我们的重视。原创 2024-01-18 15:45:11 · 1218 阅读 · 0 评论 -
谁说SCA只能给程序员用?清源SCA助力法务人员管理代码合规风险!
SCA工具的存在为企业的漏洞管理能力以及开源代码风险管理带来了极大的价值,但在开源发展的早期,开源代码的合规风险却常常被企业所轻视甚至忽略,最终让企业因此付出了惨痛的代价。【法务人员审核—安全团队审核—返回开发整改】这样的一套流程下来,耗时久,极大降低研发效率,而且多个团队“你来我往”,难免互生嫌隙,都不想再继续推动合规问题或安全问题的解决。而随着近几年开源的发展及开源治理的逐步普及,代码的合规问题也终于受到了大家的重视,【1】A企业是上千人的大规模企业,内部的开发项目繁多,涉及的开源代码量极大。原创 2024-01-16 17:09:25 · 800 阅读 · 0 评论 -
SBOM喊话医疗器械网络安全:别慌,我罩你!Part Ⅱ
由于格式和软件标识符可能会在设备和存储库的生命周期中发生变化,因此,在设备标识符和一些用于记录SBOM信息的任何格式的文件之间进行对应的能力是这种SBOM存储库的最重要特征(比如SWID标签)。本文的上半篇,我们对SBOM在医疗器械行业中的应用有了一个大体的了解,同时还相对详细地探讨了制造商对于SBOM的收集、生成、分发、维护的一些注意事项分享。SBOM中包含的组件类型的范围可能取决于多种因素,包括但不限于:MDM的能力、HCP的期望、现有SBOM软件的成熟度以及未来可能出台的对于SBOM的相关法规要求。原创 2023-04-28 17:08:17 · 652 阅读 · 0 评论 -
SBOM喊话医疗器械网络安全:别慌,我罩你!Part Ⅰ
网络安全漏洞的独特之处在于,不同制造商生产的不同医疗设备可能会使用相同的组件,这些看似安全的设备如果使用了这个有漏洞的组件会受到广泛的影响。SBOM的深度是动态的,随着SBOM被市场的接受程度越来愈高,以及整个供应链对SBOM的要求越来越规范,也会使得SBOM的深度逐步提升。SBOM还是一个较新的概念,换句话说也就是仍处于一个被人们逐渐了解和接受的过程中,基于这样的情况我们就会发现已经流入市场的一些设备并没有提供对应的SBOM,乃至于对这些设备SBOM的最基本元素和信息我们都无从得知,原创 2023-04-27 14:59:28 · 414 阅读 · 0 评论 -
缤纷三月,安势信息邀您共话企业开源风险治理
由上海安势信息出品,Freebuf承办的「企业开源风险治理实践」峰会·北京站将于2023年3月22日在北京希尔顿逸林酒店举办。原创 2023-02-22 15:20:23 · 243 阅读 · 0 评论 -
新年伊始,谈谈开源软件供应链安全的新趋势
ChatGPT是人类科技发展的必然产物,但在积极拥抱新事物的同时,合理、合法地使用更为重要。开源软件也面临同样的挑战。清源(CleanSource) SCA可帮助企业降低和管理应用或容器中因使用开源软件和其他第三方代码(软件) 引入的安全、质量与许可证合规性风险。原创 2023-02-15 16:29:34 · 514 阅读 · 0 评论 -
从开源安全看汽车安全新挑战
汽车实现智能化、网联化、电动化、共享化的能力背后是不断增长的代码量。从 OEM 到 Tier 1 到 Tier 2 都需要构建生成 SBOM 的能力。SBOM 是开源治理的基础,当供应商或汽车 OEM 不了解产品软件中使用的所有开源代码时,就无法抵御针对开源组件的漏洞攻击。原创 2023-01-03 15:59:13 · 432 阅读 · 0 评论 -
《SBOM: 提高软件供应链透明度的关键》重磅白皮书来袭
安势信息作为守护软件供应链安全的一员,重磅发布《SBOM: 提高软件供应链透明度的关键》白皮书。白皮书不仅阐述了需要 SBOM 帮助企业提升软件供应链透明度的必要性及 SCA 工具的市场现状,而且提供了成熟的 SCA 解决方案。原创 2023-01-03 15:57:20 · 384 阅读 · 0 评论 -
为什么 FDA 和 MITRE 也提及 SBOM ? - 解读《医疗器械网络安全区域事件准备和响应手册》
在医疗领域,数字医疗市场规模持续增长,但医疗系统的网络安全事件频发。安势信息深度解读FDA与MITRE 发布的《医疗器械网络安全区域事件准备和响应手册》,分析其对医疗器械厂商的影响及应对措施。原创 2022-12-04 21:58:57 · 824 阅读 · 0 评论 -
企业数字化转型中面临的开源供应链的挑战及应对措施
上海安势信息技术有限公司技术市场总监王峰应邀参加“开源创新圆桌论坛(第一期)”并发表了题为《企业数字化转型中面临的开源供应链的挑战及应对措施》的主题演讲。结合企业数字化转型的背景,王峰分享了当今开源软件供应链主要面临的三大挑战:开源软件安全、开源许可证合规与软件供应链安全。并分别从技术、流程和组织方面介绍了企业应如何应对这三大挑战。最后,王峰举例分析了我国在开源治理领域与美欧存在的差距,并表示在各方的开放协作下,中国开源产业一定会发展的越来越好。原创 2022-12-04 21:55:54 · 676 阅读 · 0 评论 -
如何使用清源 CleanSource SCA 管理开源风险
在现代的开发模式中,开源可以说无所不在。从开源的 Linux 操作系统到 Kubernetes, Docker 这类开源的基础架构管理工具,再到 TensorFlow, PyTorch 这类 AI 和机器学习相关的开源库,几乎所有行业的应用都在很大程度上有开源软件的身影。更多更广泛的云原生应用的引入,更多更复杂的开源应用的使用场景,意味着组织面临着越来越多的风险。清源(CleanSource) SCA 可以无缝集成到SDLC(软件开发生命周期)和 CI/CD 工具链中,从最大限度保持开发和迭代速度。原创 2022-11-11 16:49:46 · 1754 阅读 · 0 评论 -
如何使用清源CleanSource SCA建立软件物料清单(SBOM)
清源(CleanSource) SCA通过生成的完整、准确和可追溯的 SBOM,不但可以帮助企业降低安全风险和法律合规风险,还可以提高软件供应链的效率并提供可追溯性。原创 2022-11-01 17:30:36 · 2000 阅读 · 0 评论 -
透过关键基础设施安全事件谈SBOM
Gartner 认为,到 2025 年,在具有采购关键任务软件解决方案的组织中,60%的组织将会在其许可和支持协议中强制要求披露 SBOM,而 2022 年这一比例还不到 5%。Gartner 进一步强调,如果软件供应商想在市场上保持竞争力,就必须准备向他们的客户提供SBOMs。原创 2022-11-01 17:24:02 · 259 阅读 · 0 评论 -
欧美开源法案频出,你准备好了吗?
欧盟《网络弹性法案》及美国参议院《2022 年保护开源软件法案》两大提案的相继出台,体现了两大海外市场对软件供应链安全的高度重视。不同的国际市场环境下,有着不同的法律规定。对出海企业来说,需要对开源软件安全投入更高的关注度。合规且安全的出海,企业才会有更多的创新和发展空间可言。原创 2022-10-17 11:58:37 · 2140 阅读 · 0 评论 -
深度解读 | 关于 SBOM 最基础元素,你需要知道的(Part III)
SBOM 要达成的目标还远远没有实现,需要通过不断地创新与迭代来完善,是一个长期的反复的过程。原创 2022-08-31 11:26:38 · 952 阅读 · 0 评论 -
深度解读 | 关于 SBOM 最基础元素,你需要知道的(Part II)
企业和组织应该将重点放到 SBOM 使用机制的实践和流程上,并且将其集成到安全开发生命周期的日常活动中。原创 2022-08-19 09:16:26 · 666 阅读 · 0 评论 -
「势说新语」浅谈软件许可证
软件从闭源为主到开源成为主流,经历了几十年的发展。世界范围内,由于知识产权越来越受到重视和法律层面的保护,开源软件许可证也已经被广泛视为一种具有法律效力的合约,它规定了在软件使用和分发过程中的权利和义务。...原创 2022-07-14 21:40:59 · 1855 阅读 · 0 评论 -
SLSA: 成功 SBOM 的促进剂
SLSA和SBOM,协同工作将会更加强大。转载 2022-06-23 20:03:52 · 535 阅读 · 0 评论 -
「势说新语」SBOM 在企业软件供应链管理中的重要性—安全漏洞篇
国内互联网企业大多已经采用 DevOps 的研发流程,那么把开源漏洞扫描融入到 DevOps 的工具链中,才能实现漏洞的早发现、早跟踪、早处理。在流程中的 SCA、SAST、DAST、IAST 等等测试就组成了 DevSecOps。企业需要建立标准化格式的软件物料清单(SBOM)来进行开源组件的管理。...原创 2022-06-17 12:30:26 · 1376 阅读 · 0 评论