- 博客(106)
- 收藏
- 关注
RSS订阅
原创 2025带你看清DevSecOps的发展背景、现状及未来趋势和最佳实践
DevSecOps 是一种融合了开发(Dev)、安全(Sec)和运维(Ops)的集成方法论,旨在通过将安全实践融入软件开发和部署的整个生命周期,提高软件系统的安全性、可靠性和效率。这种模式强调安全左移(Shift Left)、持续自动化和人人参与安全,以尽早发现并修复安全问题,从而降低成本,并通过CI/CD将安全检测集成到研发流水线中,实现自动反馈和跟踪。
2025-02-06 17:34:39
1389
原创 悬镜安全领衔编制《关键信息基础设施供应链安全要求》团体标准正式发布,总参与标准研制数量行业领先
在供应链安全管理中,外部组件的使用由于没有明确的供需方合同约束,需求方应加强自身的管理约束,从组件获取、使用、更新、风险监测等方面提出了相应的安全管理要求,包括源代码安全、第三方组件安全、集成与分发安全、可追溯性等四部分内容,对外部组件的使用与管理进行约束,明确了清单的使用要求,提升发现和处置问题隐患的能力。安全准入作为供应链安全管理全生命周期中最重要的一环,从供应方、人员、产品和服务四个方面制定了具体的规范要求,保障在供应方筛选、人员的选择和管理,以及产品和服务的准入方面具备可执行性,明确安全责任。
2025-04-03 16:07:50
770
原创 浅谈软件成分分析 (SCA) 在企业开发安全建设中的落地思路
SCA,Software Composition Analysis,软件成本分析是一种对二进制软件的组成部分进行识别、分析和追踪的技术。2019年,Gartner在报告中把SCA纳入AST技术领域范围,从而形成了包含SAST、DAST、IAST和SCA的应用软件安全测试技术体系,并正式发布了有关软件成分分析(SCA)的技术洞察报告。
2025-04-03 10:47:24
931
原创 2025软件供应链安全指南︱构筑企业安全积极防御体系实践
近年来随着云原生技术的普及,微服务架构和基础设施容器化的广泛实践,除了关注传统的南北向流量外,同样需要重点关注东西向的流量攻击,在这一方面,传统的防护设备如WAF、IDS/IPS等已无法满足安全需求,需结合代码疫苗的RASP技术,进而构筑起下一代积极防御体系。代码疫苗技术的另一个核心RASP,通过将防护逻辑和防护能力注入应用程序内部,能有效防范注入攻击、恶意文件访问、URL黑名单、跨站脚本攻击、反序列化攻击、扫描器攻击等威胁,甚至能防御0DAY等未知漏洞,从而帮助应用实现对威胁的出厂自免疫。
2025-04-02 10:20:43
994
原创 2025年企业级开源治理实践与思考
代码疫苗技术中的IAST可以在应用上线前,通过融入业务环境,在测试环节进行漏洞挖掘。它能为开源治理的落地起到比较重要的技术支撑,一方面通过对私服仓库或者组件仓库进行扫描,能保障开源软件在自身使用生命周期中的安全,另一方面可以融入研发过程,在CI/CD中通过静态和动态的分析来保障开源软件安全。第三,开源治理不仅要识别开源组件漏洞、梳理SBOM软件物料清单,还要对0day或者-1day这类未知漏洞进行防御,通过代码疫苗技术的IAST在测试环节进行漏洞检测,通过代码疫苗技术的RASP在上线运营环节进行漏洞防御。
2025-04-01 11:01:13
1075
原创 2025软件供应链安全关键技术分享|代码疫苗关键技术浅析
通过引入代码疫苗技术,企业可以更加迅速、准确地检测和修复漏洞,大大缩短了漏洞修复的周期,降低了修复的成本,并提高了人工处理漏洞的效率,精准建立威胁自免疫、安全自防护的共生安全架构。代码疫苗技术是基于插桩技术来实现的,统一融合了IAST、SCA、RASP、DRA、API分析、APM监控等能力,凭借一个探针解决应用长期面临的安全漏洞、数据泄漏、运行异常、0Day攻击等风险,减轻多探针运维压力的同时,为应用植入“疫苗”,实现应用与安全的共生。在这一场景下,RASP充当的是高级漏洞攻击防护工具的角色。
2025-03-31 16:31:15
933
原创 技术文档 | 在Jenkins及GitlabCI中集成OpenSCA,轻松实现CI/CD开源风险治理
OpenSCA的代码会在GitHub和Gitee持续迭代,欢迎Star和Fork,也欢迎向我们提交ISSUE和PR,参与我们的开源安全共建计划,与社区成员共同建设充满可能性的开源解决方案。在 Jenkins 中,可以通过 Post-build Actions 来实现保存制品、报告等操作,例如可以通过 Publish HTML reports 插件来保存并展示 OpenSCA-cli 生成的 HTML 报告。对于流水线项目,可以通过在流水线脚本中添加 sh 或 bat 来执行 OpenSCA-cli。
2025-03-31 15:50:24
793
原创 重大SBOM风险预警 | 总下载量超百万次开源NPM组件被投毒
1. 开发者可通过命令 npm list country-currency-map@2.1.8 在项目目录下使用查询是否已安装存在恶意投毒的组件版本,如果已安装请立即使用 npm install country-currency-map@2.1.7 将存在投毒的版本卸载并回退到安全版本。country-currency-map组件最新2.1.8版本的package.json文件被投毒者植入postinstall指令实现安装时静默执行"node ./scripts/launch.js"命令。
2025-03-28 11:53:30
1049
原创 2025DevSecOps标杆案例|智能制造国际领导厂商敏捷安全工具链实践
基于以上SCA、IAST、RASP、PTE平台的自动化安全能力建设,结合以应用安全管理培训、质量安全门禁、漏洞管理办法为核心的管理制度及规范,促进集团内部安全、开发、DevOps、法律等跨部门工作人员共同协作,用最快的速度和规模将安全策略分配至每个流程中的关键人员加以执行,并在上线后建立安全持续运营过程,真正将安全要求和安全能力融合到研发运营全流程、践行左移安全和敏捷右移核心理念。配合DevOps部门实现集成对接,从而无缝升级为DevSecOps流程,在不影响原有效率、流程的同时显著提升安全能力。
2025-03-27 17:13:05
1576
原创 IAST治理标杆︱知名国际零售品牌携手悬镜安全,护航应用健康运行
无论是已有上千应用资产在企业内部业务系统,还是企业自建的DevOps研发运营一体化业务开发模式,抑或是企业采购的第三方开发应用系统,IAST(灰盒测试技术)作为一款适用于DevSecOps的优秀安全检测工具,通过主被动插桩、流量、日志分析等多种检测模式的结合,能够发现动态持续开发的业务系统中存在的通用Web漏洞、业务逻辑缺陷、系统服务漏洞,将安全漏洞的发现和修复时间前置到开发测试环境,大大提升修复效率。最后,为实现漏洞的管控及修复的闭环管理,把IAST检出的漏洞,进行人工验证。
2025-03-27 16:52:00
1085
原创 2025年最受欢迎的DevSecOps工具排名榜
依托悬镜安全团队强大的供应链管理监测能力和AI安全大数据云端分析能力,悬镜云脉XSBOM数字供应链安全情报平台融合超100类渠道数据,并结合策略、AI、专家体系化运营以及风险评级模型,对全球数字供应链投毒情报、漏洞情报、停服断供情报进行实时动态监测与溯源分析,为用户提供高级情报查询、情报订阅、可视化关联分析等企业级服务,帮助用户更快更轻松应对各种风险,智能精准预警“与我有关”的数字供应链安全情报,为企业在安全开发、运维、采购、分发各个阶段提供情报数据解决方案。(数据来源-中国信息通信研究院)
2025-03-26 14:04:50
629
原创 2025供应链风险情报预警 | 恶意NPM包(fix-this)开展反向shell远控投毒
fix-this NPM组件包在3.0.9及之后的版本中 lib/utils/connectionUtils.js 代码文件的 validateSystemResultsV2() 函数被投毒者植入混淆恶意代码,恶意代码主要功能用于执行反向shell远控,针对目前已投放的4个版本恶意包中,涉及到的远控服务器地址及端口如下所示。一旦开发者安装fix-this恶意包时,将自动触发执行validateSystemResultsV2 函数中的反向shell远控代码,导致系统被投毒者远程控制。
2025-03-25 17:20:40
669
原创 AI代码审查工具全景解析:2025年测试开发工程师必掌握的八大神器
联动XSBOM供应链安全情报,结合企业软件SBOM清单,为企业安全管理人员第一时间精准个性化推送漏洞风险、投毒事件、许可证风险、断供风险等安全事件信息。7000+典型缺陷检测器,涵盖安全缺陷、质量缺陷、编码规范三大分类,更支持代码级API安全扫描;AI漏洞代码自动修复(智能提供修复方案和修复建议,减少开发人员修复代码时间至少80%,修复后代码准确度至少可达到90%以上。AI生成代码专项检测(识别ChatGPT 5等模型的逻辑幻觉)从代码质量到AI生成逻辑的合规性(如大模型提示注入检测)
2025-03-25 11:07:38
1309
原创 Gartner 谈 ASPM:为什么ASPM会成为未来安全核心需求
面的扫描检测,确保供应链各环节的安全性和合规性,通过态势大屏的风险统计、项目资产及其风险漏洞的清单梳理,集成先进的数据分析和报告功能,实现了供应链的全面可视化管理,帮助企业了解供应链的构成和风险,提供有价值的洞察和建议,帮助企业做出科学合理的决策。“组织通常很难确定安全问题的优先级。夫子 ASPM 从供应商、自研代码、商采软件、开源软件等各个方面综合治理软件供应链风险,从引入时的供应能力评估、成分分析、 缺陷扫描,到应用后的风险情报监测,提供全流程的安全管理能力, 确保每个环节的安全性和合规性。
2025-03-24 17:43:02
852
原创 SBOM风险预警 | 恶意NPM组件开展木马投毒攻击,目标针对国内泛互企业
这些恶意组件会利用代码混淆和沙箱环境识别来进行安全检测对抗,在组件安装过程中会静默执行投毒代码,除了窃取系统敏感信息之外,还负责远程下载或本地释放并执行恶意木马程序。依托悬镜安全团队强大的供应链SBOM管理与监测能力和AI安全大数据云端分析能力,悬镜云脉XSBOM数字供应链安全情报预警服务通过对全球数字供应链投毒情报、漏洞情报、停服断供情报等进行实时动态监测与溯源分析,可为用户智能精准预警“与我有关”的数字供应链安全情报,提供情报查询、情报订阅、可视化关联分析等企业级服务。migu-lib恶意包主页。
2025-03-24 08:51:48
706
原创 2025新笔记:数字化转型建设的开源安全治理实践
漏洞信息的建立需要结合业务需要,重点基于开源软件名称、影响范围、解决方案等信息进行梳理,建立形成一套适用于企业内部业务系统有效开展开源安全治理工作的漏洞库,最关键的工作是持续开展漏洞库的运营维护并动态更新,保证漏洞库信息的高时效性和高准确性,提高业务系统开源软件漏洞检测效率,降低漏洞检测漏报率和误报率。将开源安全治理流程深度左移,建立开源安全漏洞与研发过程中开源软件资产之间的对接,在研发人员引入开源软件时完成漏洞检测,禁止引入存在漏洞的开源软件版本,彻底将开源软件风险消灭在萌芽阶段,杜绝供应链安全。
2025-03-21 15:22:42
1392
原创 SBOM情报预警 | 恶意NPM组件窃取Solana智能合约私钥
投毒代码一旦监控捕获到剪切板中的Solana智能合约私钥,会立即通过 ioredis 模块将私钥数据外传投递到投毒者控制的redis服务器(redis-12193.c259.us-central1-2.gce.redns.redis-cloud.com:12193)。以 serum-anchor-wallet 恶意组件为例,该系列恶意组件将投毒代码经过混淆后嵌入到lib/app.js 代码文件中,并伪装成Solana智能合约SDK。恶意NPM包 serum-anchor-wallet。
2025-03-21 10:31:42
1209
原创 悬镜安全获评专精特新企业!
旗下悬镜XSBOM数字供应链安全情报预警平台融合超100类渠道数据,并依托悬镜安全团队强大的数字供应链SBOM全生命周期溯源管理与监测能力、AI应用安全大数据云端分析能力和OpenSCA开源数字供应链安全社区在代码生成安全上的活跃贡献,对全球数字供应链安全态势、投毒攻击事件、组件停服断供风险等进行实时动态监测与深度溯源分析,为用户提供高级情报查询、情报订阅、可视化关联分析等企业服务,帮助用户更轻松应对各种风险,智能精准预警“与我有关”的数字供应链安全情报。早在2021年便成立。
2025-03-20 17:02:44
487
原创 POC测试真实体验︱新一代代码灰盒安全测试
在威胁建模环节设置夫子平台,既可以负责工具链的打通,维护安全漏洞的流转,还可以在此基础上结合人工和安全服务,形成“工具链+平台+安全服务”的模式,可以使DevSecOps更加合理的落地。它同时规避了黑盒安全扫描DAST和白盒代码审计技术的主要技术缺陷,通过轻量级的微探针技术,使得它在具有黑盒流量的同时,也能获得白盒的精准代码行定位。但漏报率会略有上升。我个人认为,IAST技术比较适合敏捷开发的场景,其流量和代码行也能协助安全人员快速定位漏洞,符合当前大家所倡导的在敏捷开发环境下安全左移或安全前置的需求。
2025-03-20 16:29:54
1341
原创 软件供应链安全体系︱构筑企业安全积极防御体系实践
近年来随着云原生技术的普及,微服务架构和基础设施容器化的广泛实践,除了关注传统的南北向流量外,同样需要重点关注东西向的流量攻击,在这一方面,传统的防护设备如WAF、IDS/IPS等已无法满足安全需求,需结合代码疫苗的RASP技术,进而构筑起下一代积极防御体系。代码疫苗技术的另一个核心RASP,通过将防护逻辑和防护能力注入应用程序内部,能有效防范注入攻击、恶意文件访问、URL黑名单、跨站脚本攻击、反序列化攻击、扫描器攻击等威胁,甚至能防御0DAY等未知漏洞,从而帮助应用实现对威胁的出厂自免疫。
2025-03-19 15:38:26
957
原创 2025 RASP工具推荐 ︳三大核心能力:0day防御、东西向流量防护、投毒免疫
众所周知,SaaS的交付形式对产品自身有着较高标准的要求,无论是探针的稳定性、安全策略的精准度,还是在RASP平台内置的安全处理流程方面的能力都面临着比较大的考验。面对当前用户最为关注的开源组件风险管理问题,云鲨RASP还融合了悬镜安全原创的OSS引擎,能够精准地识别应用系统实际运行过程中动态加载的第三方组件及依赖,对运行时的应用程序本身进行深度且更加有效的威胁分析,深度挖掘组件中潜藏的各类安全漏洞及开源协议风险,更进一步地保障应用程序的安全运行,从RASP的角度出发,解决用户重点关切的开源治理难题。
2025-03-19 10:13:09
1162
原创 AI代码审计工具推荐︱AI+SAST 破解传统代码审计难题,AI助力开发效率提升
每种编程语言和框架具有不同的语法、语义和结构特性,灵脉AI开发安全卫士4.0现已全面覆盖Java、C/C++、Python、PHP、Go、C#、JavaScript和Ruby等主流语言及其框架,支持跨语言、跨框架的缺陷检测,无论开发团队使用何种技术栈,均能根据语言特性调整分析方法,确保准确识别安全缺陷和质量缺陷。:深入理解代码的全局上下文,准确分析跨文件、跨函数的依赖关系;传统的开发安全工具依赖于预定义的规则或模板来识别代码中的缺陷,但这些方法在处理复杂的代码上下文时,会产生较高的误报率或漏报问题。
2025-03-18 17:24:21
1695
原创 2025年最新︱ASPM态势感知平台介绍
悬镜夫子ASPM通过对外部供应商进行安全评估和管理,引入产品全面的扫描检测,确保供应链各环节的安全性和合规性,通过态势大屏的风险统计、项目资产及其风险漏洞的清单梳理,集成先进的数据分析和报告功能,实现了供应链的全面可视化管理,帮助企业了解供应链的构成和风险,提供有价值的洞察和建议,帮助企业做出科学合理的决策。通过安全数据全量管理,收集的安全数据包括操作系统、安全设备、网络设备、应用程序和数据库的安全配置和安全日志等信息,并提供安全日志的全文检索功能,便于网络安全人员从海量日志中查找和关联相关安全日志。
2025-03-18 16:11:40
795
原创 2025开源风险治理最佳实践︱新能源汽车车企开源风险治理案例
针对外采供应商场景,其特点是无法管控源代码,通过利用源鉴SCA二进制文件及SBOM文件风险扫描能力,审查交付的.Hex,.Android dex,Mot,.Xcd,.Xcd2二进制固件制品,输出标准SBOM清单后,并对比供应商提交的软件组件清单,审核确认需整改的漏洞及许可证风险,勒令供应商进行整改,整改完毕后方允许装车。用户通过源鉴SCA,还建立了整车供应链安全审查制度,针对嵌入式固件及车端应用输出SBOM清单,梳理许可证风险,并将车端应用涉及的软件许可,在车端大屏中进行“开放源代码许可”声明公示。
2025-03-17 15:27:35
950
原创 2025代码安全审计工具推荐︱悬镜安全灵脉 SAST 的应用实践
未实现指向分析,会产生一定的误报。灵脉SAST白盒代码审计平台(灵脉AI)是基于多模智能引擎的新一代静态代码安全扫描产品,提供源代码缺陷检测、源代码合规检测、源代码溯源检测三大能力,能从编码源头识别安全风险,帮助企业解决软件开发过程中的安全缺陷、质量缺陷和编码规范缺陷,确保研发团队高质量交付。1 融合SCA双倍AI驱动引擎进行同步检测,并支持组件漏洞可达性分析,通过评估第三方组件的安全性、审查代码的合规性和最佳实践,帮助确保整个数字供应链的安全性和可信度,提供供应链安全审查并实现供应链安全能力支撑。
2025-03-17 11:57:54
942
原创 2025软件供应链安全厂商推荐︱悬镜入选“移动互联网APP产品安全漏洞治理”十大优秀案例
源鉴SCA可以结合公司内部的采购规范及要求,对第三方供应商的产品安装包、固件包进行软件成分安全审查,自动化梳理已有移动端数字应用的组件资产,多维度分析开源组件的影响范围和依赖关系,提高移动端数字应用供应链的透明度,并且在安全事件发生时及时回溯风险组件的位置及影响范围,全面提升移动供应链开源风控能力。众多企业为了加速开发进程、降低研发投入成本,广泛的使用开源软件构建移动端。该方案可适用于众多行业的移动端业务,无论是新兴的互联网企业,还是传统制造业、金融、医疗、能源、车联网等行业的移动端应用场景均可采用。
2025-03-14 16:56:40
989
原创 金融行业标杆企业在DevOps敏捷开发过程中的安全实践
基于此,中信建投证券有限公司(以下简称“中信建投”)通过引入Atlassian JIRA管理系统+悬镜灵脉IAST灰盒安全测试平台(以下简称“灵脉IAST”)+JFrog Artifactory制品库+蓝鲸DevOps平台等技术,结合中信建投现有的自动化安全工具链,构建了一套完善的DevSecOps敏捷安全管理体系,使得安全能力在整个业务生命周期中左置前移,提高应用层的威胁发现能力,同时将信息安全管理工作透明、无感知的介入到DevOps流程中,建立统一的自动化检测流程。
2025-03-14 15:38:53
892
原创 透过安全事件看软件组成分析SCA
在随后的演进过程中,逐渐丰富了连续自动检测和安全漏洞优先级功能:当软件或者组件的已知漏洞较多时,通过自动识别最大风险的安全漏洞,组织机构可以首先解决优先事项。,哪怕在软件上线后的几年时间里,人们依然可以依据经常更新其已知漏洞列表去发现软件中的缺陷,极大便利了研发人员对已发布软件的维护。尽管使用容易被攻击的软件或错误的许可证会造成严重的后果,但事实上,我们甚至不知道研发过程中使用哪些第三方软件。显而易见的是,当第一个问题出现,后续影响都会接踵而来,从而引发多米诺骨牌效应,造成难以估量的经济损失。
2025-03-13 17:43:41
1038
原创 开源许可证保姆级入门手册
无论您是正在开发一个软件项目并需要附加开源许可证以便共享,还是希望确保所使用的软件组件所附带的开源许可证与您自己的项目和需求兼容,了解每个许可证意味的不同限制、条件和权限都非常重要。有些细节看起来微不足道,但会对开源组件的使用和分发方式有决定性的影响,进而影响对开源的使用及软件制品的合规性。这类许可证中,最简洁明了和最受欢迎的是MIT许可证。例如,同属宽松式许可证的MIT许可证和Apache许可证迥然不同,同属Copyleft类的Eclipse许可证和GPLv3许可证也并没有共用相同的条款和条件。
2025-03-13 14:57:04
651
原创 国内外主流静态分析类工具汇总
能够发现1300多种C语言问题、800多种C++的问题,可以支持所有编译器的扩展、配置简单灵活,分析速度非常快,分析报告可以是excel、word、pdf、图表等多种形式,在线帮助相关联,可以及时得到问题的解释和示例。可以发现许多代码中间潜在的bug。能够度量函数代码行数(200)、注释比率(20%)、函数参数(7)、goto语句(0)、圈复杂度(10)、基本复杂度(4,维护性)、LCSAJ密度(20,可维护性)、控制节点数(10)、基本节点数(5)、扇入度量(7)、扇出度量(7)等,括号中是阈值。
2025-03-12 17:57:31
1020
原创 护网场景下的RASP应用实践
相对于传统的Web应用安全产品,RASP防护聚焦真实的已知、未知的安全威胁,弥补传统边界安全产品的先天性防护不足问题,实时监测响应和修复,提供更智能、主动、综合和全面的防护。云鲨RASP可以在不依赖请求特征的情况下,在应用内部进行分析,精准截获真正具有风险的操作。当应用安全遭遇威胁时,在应用安全遭遇威胁时,云鲨RASP可以将自身安全保护代码嵌入到运行中服务器的应用程序上,通过对访问应用系统的每一段代码进行检测,实时检测所有的应用请求并有效阻断安全攻击,最终实现应用系统的自我保护,确保应用系统的安全运行。
2025-03-12 10:22:37
906
原创 2025网安从业必备!十大开源网络安全工具
CloudGrappler是一款由Permiso团队打造的开源云安全工具,能够基于现代云威胁参与者的策略、技术和程序(TTP)(如LUCR-3)提供增强的检测功能,它利用高效的日志查询机制,通过命令行接口(CLI)与数据源进行交互,确保在各种环境下都能稳定运行,能够帮助安全管理团队更加轻松地应对云环境中的安全挑战。Malwoverview是一款专注于恶意软件分析和威胁狩猎的开源工具,可用于恶意软件样本、URL、IP地址、域、恶意软件系列、I0C和哈希的初始和快速评估。
2025-03-12 09:13:26
1249
原创 2025,以SBOM为基础的云原生应用安全治理
在未使用SBOM的情况下,组件漏洞爆发时,组件上下游厂商因为对自身的组件资产一无所知,对漏洞毫不知情,因此无法在第一时间作出漏洞处置动作,导致该漏洞的治理存在一个非常长的不可控阶段,管理成本和风险相应增加。在SBOM的基础上,要解决上线后运营阶段的安全问题、实现安全研发和运营的闭环,不能仅仅局限于单个的SCA工具,而需要与其他更适配持续运营场景的工具结合,形成整体联动的解决方案。在此基础上,使用基于插桩技术的IAST工具,在功能测试的同时,检测是否存在高危漏洞风险,并展示漏洞触发数据流,便于修复指导。
2025-03-11 16:29:22
1105
原创 2025软件供应链安全案例︱证券行业云原生DevSecOps敏捷安全实践
悬镜安全始终坚持以技术创新为引擎,深入洞察云原生架构下的安全风险,原创专利级以代码疫苗为核心的云原生DevSecOps智适应敏捷安全治理体系,既能“安全左移”,从开发源头规避掉各种中高危安全风险,进而实现更高效的前置安全治理;云原生安全涉及云原生应用安全、云原生计算环境安全以及云原生基础设施安全。其中,云原生应用的构建、交付到运行都是在云原生的环境下进行,云原生应用安全又包含云原生应用开发安全、微服务安全、API安全、Serverless安全等。在集成和交付阶段,在流水线中嵌入安全合规审计;
2025-03-11 11:47:14
891
原创 2025软件供应链安全最佳实践︱新能源汽车领域SCA开源风险治理项目
SCA是开源治理的技术抓手,源鉴SCA作为新一代开源数字供应链安全审查与治理平台,全方位覆盖数字应用在开发、测试、采购和运营阶段涉及的第三方开源组件和多层依赖、代码克隆、开源许可协议、二进制制品、运行时应用的纵深数字供应链开源安全风险,并结合供应链安全情报,实现数字供应链组件资产的持续性风险评估和紧急漏洞事件的快速响应。适配.hex、.xcd、.out、.mot等车端产品不同固件格式,基于源鉴SCA二进制制品成分分析引擎,分析可执行二进制的具体特征,提供对应的软件成分、漏洞风险等;
2025-03-11 09:10:49
777
原创 2025开源治理怎么做?OpenSCA用开源的方式做开源风险治理
OpenSCA继承了商业级的开源应用安全缺陷检测、多级开源依赖挖掘、纵深代码同源检测等核心能力,通过软件成分分析、依赖分析、特征分析、引用识别、合规分析等方法,深度挖掘组件中潜藏的各类安全漏洞及开源协议风险。基于海量的组件库、漏洞库、许可证库、开源项目库等知识数据能够最大程度的匹配出正确的组件版本和对应的风险信息。通常,同一个漏洞可能存在于同一个组件的多个版本中,又或者同一个漏洞可能存在于不同的组件中,通过对关键漏洞的验证核实,OpenSCA能够最准确的给出修复推荐组件版本和安全的组件版本范围供用户选择。
2025-03-10 15:01:49
1318
原创 2025解决软件供应链安全,开源安全的版本答案:SCA+SBOM
总的来说,Sonatype认为供应链攻击的大部分责任其实在使用者,比如log4j2已经是一个老生常谈的问题了,但是在上个月,仍有高达25%的新下载软件中包含该漏洞,但是其中大部分的项目有新版本可用,这种关键漏洞又极易被犯罪者利用,危害用户、企业、甚至国家的安全。SBOM的应用可以增强软件供应链的可见性,使软件组件的溯源更加便捷,帮助理清软件产品之间的依赖关系,判断已知漏洞的影响范围,并及时发现潜在的恶意软件渗透,可以有力支持软件供应链相关监管政策和内部审核流程的实施和执行。的CLI 和IDE插件。
2025-03-10 14:14:55
888
原创 2025年不同格式标准SBOM清单横评:SPDX、CDX和DSDX
基于广大社区用户的实践反馈及对国际标准格式的研究,今年8月推出的DSDX着重考虑了运行环境及供应链流转信息的引入,以最小集/扩展集的形式增强了SBOM应用的灵活性,并考虑了国内企业出海合规相关需求的场景。简言之,唯一被写入ISO国际标准的SPDX在标准化的基础上相对更关注对许可证信息的描述,能记录更多安全及服务相关信息的CDX有更强的扩展性,而基于国内实践发布的DSDX则引入了运行环境及供应链流转信息并对描述对象做了最小集/扩展集的拆分。,前两者由于记录着更详细的依赖信息而得到了更广泛的使用。
2025-03-10 14:07:57
612
原创 悬镜安全夫子ASPM重磅升级︱体系化治理软件供应链安全的痛点难题,All in one!
悬镜夫子ASPM通过对外部供应商进行安全评估和管理,引入产品全面的扫描检测,确保供应链各环节的安全性和合规性,通过态势大屏的风险统计、项目资产及其风险漏洞的清单梳理,集成先进的数据分析和报告功能,实现了供应链的全面可视化管理,帮助企业了解供应链的构成和风险,提供有价值的洞察和建议,帮助企业做出科学合理的决策。悬镜夫子ASPM无缝集成多种主流检测工具,5分钟聚合全量漏洞数据,自动去重、关联代码上下文,减少80%重复性人工比对,将分散的漏洞数据转化为关联攻击链路的战术地图。软件供应链透明度是企业安全的基石!
2025-03-10 09:32:46
791
原创 运营商优秀开源治理实践︱悬镜携手联通软研院入选通信行业开源创新案例
然而,由于未制定相应的开源组件使用规范,存在各个系统开源软件使用不一、复杂多样,开发人员在开发过程中未能关注开源组件的漏洞情况,开源组件安全漏洞反复出现,由开源软件直接或间接引发的故障占比较高。联通软研院基于源鉴SCA的开源治理能力建立了企业级平台,可对各类型采购、自研、软件资产进行梳理和安全审查,进一步在内部建立开源治理组织架构,制定配套的开源治理管理制度和规范,逐步构筑起比较完备的开源风险治理体系,规范开源软件的引入、使用、治理、退出等全生命周期流程,做到全流程安全可控,进而提升开源治理能力。
2025-03-07 12:02:41
1148
国内为什么没有人做AI搜索类GEO营销工具的
2025-02-17
TA创建的收藏夹 TA关注的收藏夹
TA关注的人