如何应对软件供应链安全风险?

最新推荐文章于 2024-06-13 11:22:44 发布
最新推荐文章于 2024-06-13 11:22:44 发布
阅读量513 收藏
点赞数
文章标签: 安全 网络 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dsphere_shuying/article/details/127979206
版权

近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重,其中,开源软件的安全问题尤其值得关注。

据Sonatype的第八次年度软件供应链状况报告显示,截至今年为止,专家们已经发现了88000个恶意开源包,比2019年的同一数字增加了三位数,表明企业的攻击面正在快速增长。该报告是根据公共和专有数据分析编制的,包括1310亿次Maven Central下载和成千上万的开源项目。

另外也了解到,超过90%的软件应用程序使用开源组件,但使用开源软件在提高开发人员的开发效率的同时,也给软件应用程序的安全带来了更多不确定性。而且,在数字化转型加速的当下,在推动创新的过程中,开源的复杂性和开发速度也限制了软件供应链安全控制的有效性。

据研究预测,到2025年,全球45%的组织将会遭受一次或多次软件供应链攻击,82%的CIO认为他们将更容易受到攻击。这些攻击包括通过广泛使用的软件组件(如Log4j)中的漏洞进行的攻击,对构建管道的攻击(例如:SolarWinds、Kaseya和Codecov黑客攻击),或黑客破坏软件包存储库本身。

而正由于软件供应链攻击变得如此普遍,以至于Gartner将其列为2022年的第二大威胁。

什么是软件供应链安全?

企业软件项目越来越趋于依靠第三方和开源组件,该类组件由个人创建和维护,由于其与开发重要软件的组织无雇佣关系,所以第三方不一定使用与软件开发组织相同的安全策略。

这点存在着一定的安全风险,因为个人创建的安全策略与组织创建的安全策略二者之间存在着差异或不一致性,这可能会导致出现易被忽视的脆弱区域,从而给攻击者以可乘之机。

最低0.47元/天 解锁文章
数影星球
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2021年开源软件供应链安全风险研究报告.pdf
08-17
2021年开源软件供应链安全风险研究报告.pdf
供应链攻击
why123wh的博客
02-16 1150
供应链攻击是一种面向软件开发人员和供应商的新兴威胁,目标是通过感染合法应用来分发恶意软件,从而访问源代码、构建过程或更新机制²。供应链攻击的危害非常大,不仅会影响供应商的信誉和业务,还会对供应链上的众多消费者造成不利影响,甚至导致数据泄露、系统瘫痪、资金损失等严重后果。因此,对供应链攻击的防御和处置是非常重要的。本文将介绍供应链攻击的常见类型、检测方法、应急响应和防御策略,希望能够对软件开发者和供应商有所帮助。
供应链攻击的防护
shendong70的博客
07-10 1101
1. 历史上最大的勒索软件攻击 7月2日勒索组织REvil,攻击了一家来自瑞典的IT管理服务提供商(managed service providers(MSP)) – Kaseya。 Kaseya的VSA(虚拟系统管理)是一个基于云的管理服务提供商(MSP)平台,该平台为客户提供了一套基于Web的新一代自动化IT系统管理解决方案。MSP通过建立自己的网络运作中心(Network Operating Center(NOC))来为企业提供 24×7×365 的系统管理服务的业务。MSP可以实现对客户的IT系统的
供应链攻击的检测与防御
Shanfenglan's blog
01-14 8426
文章目录1.什么是供应链攻击2.什么情况下有可能会受到供应链攻击3.如何防御供应链攻击1.建立内部软件源或使用足够安全软件源2.终端安全检测主动扫描总结参考 1.什么是供应链攻击 供应链的公司被入侵更改了产品的源码,用户下载了供应链公司的产品而最终受到攻击。这种用户被攻击的方式称为供应链攻击。 举例如下: 1.Jeilyfish 在PyPI社区出现了一个名为Jeilyfish的包,它与Jellyfish只有一个字母不同。如果下载者不注意的话可能会下载到恶意的Jeilfish包然后被窃取敏感信息。 2.什么
供应链攻击:保护软件供应链的 6 个步骤
u012516914的专栏
11-26 807
本文着眼于软件供应链攻击,它们究竟是什么,以及您可以遵循的 6 个步骤来保护您的软件供应链并限制供应链攻击的影响。在过去几年中,我们看到软件供应链攻击大幅增加。什么是供应链攻击?这是一种网...
供应链风险?处理需谨慎!
weixin_42212311的博客
05-25 1122
去年1月美国总统特朗普签署行政命令,正式宣布美国退出跨太平洋伙伴关系协定。同年8月美国政府重启了《北美自由贸易协定》(NAFTA)谈判,内容包括撤销加拿大、墨西哥和美国之间长达23年的自由贸易。今年3月,特朗普政府突然宣布要对600亿美元的中国产品征收惩罚性关税,并且将在15天之内发布被征税的1300项商品的清单。这一系列大动作,引起了供应链高管们对进口关税和贸易规则等问题的高度关注。在这种情况下...
软件供应链安全现状分析与对策建议
smellycat000的专栏
11-26 2587
扫码订阅《中国信息安全》杂志权威刊物 重要平台 关键渠道邮发代号 2-786文│ 奇安信集团代码安全事业部 董国伟数字化时代,软件无处不在。软件已经成为支撑社会正常运转的最基本元素之一,软...
开源软件供应链安全风险研究报告
07-05
从开源漏洞发展现状及趋势、开源组件生态安全风险分析、组件漏洞依赖层级传播范围分析、开源文件潜在漏洞风险传播分析等4个角度对国内软件供应链安全做了调研工作
防范软件供应链安全风险维护网络空间安全.pdf
11-18
防范软件供应链安全风险维护网络空间安全.pdf
2023年中国软件供应链安全分析报告
08-24
本报告继续针对国内企业自主开发的源代码、开源软件生态、国内企业软件...在典型软件供应链安全风险实例部分,通过多个新的实例再次验证了因软件供应链的复杂性,开源软件的“老漏洞”发挥“0day漏洞”攻击作用的状况。
展会邀请 | 龙智即将亮相2024上海国际嵌入式展,带来安全合规、单一可信数据源、可追溯、高效协同的嵌入式开发解决方案
weixin_49715102的博客
06-09 906
凭借在DevSecOps领域的深厚积累,龙智在全球范围内遴选优秀的专业工具,为嵌入式开发行业打造了专属的嵌入式开发解决方案,并提供专业咨询、方案定制、实施部署、专业培训、定制开发等一站式服务支持。等全球专业工具,覆盖嵌入式软件单元测试、静态代码分析、需求管理、版本控制、生命周期管理及项目管理、知识库管理等领域,助力企业实现安全合规、可追溯、单一可信数据源、高效协同的嵌入式开发。并且嵌入式系统往往非常复杂,需要全面的测试覆盖、高效的测试执行,才能确保系统的可靠性和正确性,以及产品的及时交付。
软件定义安全》之八:软件定义安全案例
大龄IT民工
06-13 1057
Embrane是一家虚拟设备提供商,由Cisco公司前员工创立,该公司致力于实现网络功能实体的软件化,旨在研发出多服务、分布式软件架构的网络服务产品。它于2015年4月被Cisco公司收购。Embrane的软件定义架构称为Heleos,利用虚拟通信设备代替原有基于专有硬件平台的设备,通过一个集中的控制台对虚拟设备进行管理和控制。Heleos与原来的应用交付网络(ADN)产品较为接近,是基于软件的L4~L7虚拟设备,包括负载均衡产品、防火墙、VPN产品和SSLOffload Engine。
NTFS安全权限
2302_80097039的博客
06-12 509
NTFS权限是基于。
电子电气架构 ---车载安全防火墙
Soly_kun的博客
06-09 727
车载诊断安全
上心师傅的思路分享(三)--Nacos渗透
weixin_72543266的博客
06-10 928
Nacos 是阿里巴巴推出来的一个开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。但是Nacos是部署在内网的,因此下面通过语法搜索出来的可以看到的,一般会做访问限制的,正常是访问不到的,如果可以访问就可以尝试是否存在漏洞了.当然如果直接在真实环境下测试,一是未授权行为,二是不容易找到复现环境,所以在本地搭建环境来进行复现是最安全,也是最容易。
渗透测试之内核安全系列课程:Rootkit技术初探(三)
fearhacker的专栏
06-08 948
相应的,每个进程,都会存在一个页目录表),1024MB = 1 GB;GDT 全局描述符表、LDT 局部描述符表、GDTR 全局描述符表 寄存器、LDTR 局部描述符表 寄存器 、一致性代码、非一致性代码、实模式、保护模式、线性地址。在 Intel 系列的 芯片中,存在专门的电路,负责将虚拟地址(线性地址)转译为内存物理地址!目前这块,笔者本人,也需要更加深入的理解,也许以后,会涉及到对这方面的更详细讲解 )。想要免杀,需要了解的安全技术知识包括软件加壳、代码混淆(例如,使用花指令)、隐匿技术(例如,
渗透测试之内核安全系列课程:Rootkit技术初探(四)
fearhacker的专栏
06-10 1007
当 PDE( 页目录项 ) 的 PS 位( 第8位 ) 为 1 时,代表PDE( 页目录项 )直接指向页( P ),这时,页的大小为 4MB(这是一个大页),此时,这个大页( 4MB 大小的物理页)的物理地址计算公式为: PDE( 页目录项 ) 的 高 10 位 + 线性地址 的 低 22 位。上述的页目录( PDT )的子项(PDE)除了前7位之外,其它各比特位用途不固定(各关键比特位的位置,同样不固定),因操作系统类型、CPU 版本不同而存在差异!
内网安全--隧道技术&代理技术
金灰的博客
06-06 1339
注:本文仅做技术分享,请勿非法破坏...隧道技术:解决不出网协议上线的问题(利用出网协议进行封装出网) 硬刚网络协议的封杀!代理技术:解决网络通讯不通的问题(利用跳板机建立节点后续操作) 本地代理外网流量.
精彩回顾!安全智能体的前沿技术研究与实践
最新发布
m0_73736695的博客
06-13 721
云起无垠创始人兼CEO沈凯文博士,以《安全智能体的前沿技术研究与实践》为题,深入剖析了安全检测技术的演进历程,以及安全智能体的核心理念和实际应用。
软件供应链安全白皮书 pdf
07-06
软件供应链安全白皮书是一...总之,软件供应链安全白皮书是一份重要的指南,可以帮助组织更好地理解和应对软件供应链安全的挑战。通过遵循其中的最佳实践和建议,组织可以提高软件供应链安全性,降低遭受威胁的风险

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值