棱镜七彩-CSDN博客

原创网安播报|Python 的 GitHub 核心资源库 token 意外曝光，风险巨大

网络安全专家发现了意外泄露的 GitHub token，能以最高权限访问 Python 语言、Python 软件包索引（PyPI）和 Python 软件基金会（PSF）存储库。如果该 token 落入不法分子之手，其潜在破坏力将是巨大的，例如攻击者可以将恶意代码注入 PyPI 软件包（再升级所有 Python 软件包替换为恶意软件），甚至可以在 Python 语言本身中注入恶意代码。

2024-07-19 17:17:55 300

原创棱镜七彩上榜《嘶吼2024网络安全产业图谱》两大领域

基于此，公司打造了以“工具+平台+服务”为核心的产品矩阵与服务体系，能够依托客户需求，从场景方案、分析能力、技术引擎、数据资产等不同维度为客户进行多样性的定制化服务，为企业业务系统持续稳定安全运行提供保障，为软件供应链安全保驾护航。此次入选《嘶吼2024网络安全产业图谱》，再次印证了棱镜七彩在深耕软件供应链安全领域过程中所展示出的强劲动能及实力。未来，棱镜七彩将继续以自身核心技术能力为基础，深化技术创新，创造更多贴合用户的产品与服务，为不断变化的网络安全产业健康发展提供有力的技术保障与支撑。

2024-07-17 17:49:50 224

原创【网安播报】CocoaPods 曝关键漏洞，应用程序面临供应链攻击风险

开源依赖管理器 CocoaPods 中的安全漏洞暴露了数千个软件包，利用这些漏洞的攻击者可以将恶意代码注入合法应用，通过受信任的渠道分发恶意软件，并破坏用户数据，由于许多流行的应用程序都依赖于 CocoaPods，因此此类漏洞威胁到整个 iOS 和 macOS 生态系统，数百万 macOS 和 iOS 设备上的应用程序面临供应链攻击风险。

2024-07-08 17:52:38 287

原创棱镜七彩上榜数说安全《2024年中国网络安全市场全景图》

自去年首次参与以来，棱镜七彩两次上榜数说安全《中国网络安全市场全景图》，是行业机构和市场对棱镜七彩在开发安全领域专业能力和技术实力的高度认可。棱镜七彩作为一家特有的专注于软件自主可控、软件供应链安全、开源安全与发展的创新型科技企业，公司以“工具+平台+服务”为核心能力，形成可拓展的组合式服务架构，从软件供应链安全管理、开源生态建设、开源治理等方面引领信息技术应用产品创新发展，满足行业对国产软件在功能、性能、安全性和可靠性等方面的验证要求，全方位保障用户开源资产安全性与合规性。

2024-07-05 15:46:06 341

原创网安播报|MOVEit 被发现9.1 分高危漏洞，威胁全球 2700 多家组织

MOVEit被发现9.1分重磅漏洞，有证据表明黑客已经利用该漏洞发起攻击。该漏洞存在于MOVEit 管理软件的 SFTP 模块中，一旦被攻击者利用可以绕过身份验证并获取敏感数据。在某安全公司进行的一次单独扫描中发现，全球已经有超过 2700 个组织和机构部署了该系统。Progress Software 公司目前已经发布了 2023.0.11、2023.1.6 和 2024.0.2 版本更新，并敦促企业尽快部署更新。

2024-06-28 17:31:59 547

原创 IntelBroker 黑客声称入侵了苹果公司，窃取了内部工具的源代码

黑客 IntelBroker 声称已经入侵了苹果公司，并窃取了AppleConnect-SSOC（AppleConnect-SSO是Apple公司内部单点登录和身份验证系统）、AppleMacro插件、苹果-HWE-Confluence-高级3个内部工具的源代码，但没有提供有关违规行为或被盗代码的具体目的的进一步细节。苹果方面指出，此次网络攻击事件不会对苹果公司的客户信息造成任何影响。

2024-06-21 15:58:20 446

原创棱镜七彩荣获CNNVD两项大奖，专业能力与贡献再获认可！

本次获奖激励着棱镜七彩在网络安全领域继续前进。未来，棱镜七彩将一如既往的投身网络安全事业，依托自身优势不断提升技术能力与漏洞能力，积极配合CNNVD技术支撑工作，持续挖掘并报送高质量原创漏洞，积极完成各项漏洞应急处置、漏洞通报任务，为国家信息安全漏洞库的建设贡献开源力量，为全面提升国家安全防护效能，筑牢信息安全防线。棱镜七彩作为CNNVD一级技术支撑单位之一，本次获得年度优秀技术支撑单位和最佳新秀奖荣誉，充分体现了国家信息安全漏洞库对我司技术能力及漏洞相关支撑工作的高度认可和肯定。

2024-06-19 17:29:54 245

原创网安播报|纽约时报 GitHub 存储库凭据泄露，黑客窃走 270GB 内部机密 IT 文件

据悉，安全公司检测到一名黑客在地下论坛中公开了一批据称是来自纽约时报的内部 IT 文件，其中包含 6200 多个文件夹，容纳约 360 万个 Tar 压缩文件，主要涉及 IT 文档、程序源码等内容。黑客描述，他一共获取了 270GB 内部数据，主要涉及纽约时报公司内部约 5000 个 GitHub 存储库。

2024-06-14 18:10:51 999

原创设置密码重要性！美国一配件制造商因忘设密码影响50 多万客户

美国一家领先宽带提供商cox的基础架构中存在 API 授权绕过漏洞，如果被利用攻击者不仅可以访问企业客户的个人身份信息（PII），还可以访问 Wi-Fi 密码和连接设备上的信息，影响数百万企业客户设备。

2024-06-07 17:42:44 375 1

原创棱镜七彩荣获2024数字中国创新大赛两大奖项！

棱镜七彩深耕软件供应链安全领域多年，本次获奖的FOSSEye产品立足企业面临的供应链不稳定、管理体系不健全、许可证合规风险等问题，从软件成分分析识别、一体化的风险管理、强大的开源安全合规方案等全方位赋能企业开源安全与合规治理能力，帮助企业做到软件产品实际意义上的可知可控，降低潜在的风险，护航企业网络安全。近年来，网络产品和服务面临供应链完整性威胁的问题越来越突出，本届赛题新增的“供应链安全”考量体系，对产品及解决方案的供应链安全管理体系提出要求，意味着供应链安全在信创产业中同样承担着重要角色。

2024-05-27 17:31:02 310

原创如何选择软件成分分析（SCA）工具？

软件成分分析(SCA)是一种用于分析和管理开源组件应用安全的方法。这种分析方法旨在识别软件系统中的各个组成部分，包括源代码、第三方库、框架、配置文件等，并对它们进行分类和描述。通过软件成分分析，可以更好地了解软件系统的内部结构和运行机制、所有相关组件、支持库及其之间的直接和间接依赖关系，有助于开发人员更好地理解软件的功能和性能，做好软件维护、重构和升级。

2024-05-15 10:43:10 431

原创棱镜七彩参编《网络安全技术软件供应链安全要求》国家标准发布

未来，棱镜七彩将在标准文件的指导下，持续深耕软件供应链安全相关管理工作，加强技术创新，深度参与更多国标、行标、团标的制定工作，为推动软件供应链安全发展提供强有力的支撑。该国家标准的发布为提高企业开展软件供应链风险管理，促进产品和服务的安全性和可靠性提供了有力支撑，也将推动第三方机构检测评估能力的提升与发展，对软件供应链领域安全发展具有重要意义。适用于指导软件供应链中的供需双方开展风险管理、组织管理和供应活动管理，可为第三方机构开展软件供应链安全检测和评估提供依据，也可为主管监管部门提供参考。

2024-05-11 16:43:19 425

原创棱镜七彩受邀参加2024中国移动算力网络大会共探安全发展新趋势

2024年4月28日至4月29日，由中国移动通信集团主办的2024中国移动算力网络大会在苏州金鸡湖国际会议中心成功召开，本次大会以“算力网络点亮AI新时代”主题，设置主论坛、分论坛、量子计算大赛、展览展示、参观交流等系列活动，深入展示了中国移动在算力网络领域的最新规划与核心能力。随着互联网、大数据、云计算、人工智能、区块链等技术的蓬勃发展，加速数字经济发展的同时算力规模持续增长，算力资源需求也与日俱增，提升算力网络的安全服务能力和管理水平，强化算力产业链供应链安全成为推动算力网络技术创新与发展的关键要素。

2024-05-06 17:58:06 356

原创棱镜七彩上榜《中国网络安全行业全景图》软件成分分析领域

作为较早深耕软件供应链安全领域的厂商，棱镜七彩围绕软件成分分析、软件供应链溯源、开源合规与开源安全等核心技术，打造了一系列软件供应链安全产品及解决方案，全方位满足用户在开源治理、软件自主可控、软件供应链安全方面的技术与管理需求。据悉，本次第十一版全景图优先展现当前热门网络安全领域中具有较强市场竞争能力的网络安全厂商，突出安全产品体系中的重点安全产品与能力，提升了全景图的实用性、指导性和可阅读性。近日，安全牛第十一版《中国网络安全行业全景图》（以下简称“全景图”）正式发布。

2024-04-16 11:46:47 172

原创【网安播报】GitHub上的恶意Visual Studio 项目推送 Keyzetsu 恶意软件

Notepad++ 是一款文本和源代码编辑器，因其多功能性和插件支持而受到程序员的青睐，研究人员透露，广泛使用的“mimeTools.dll”插件经过修改伪装成 Notepad++ 的默认组件，欺骗用户下载和安装。网络安全研究人员发现了 JSOutProx 恶意软件的新版本，一个非常灵活且组织良好的程序，允许攻击者为受害者的特定环境定制功能，具有多个阶段的恶意软件植入物，并且具有多个插件，可以根据受害者的环境直接攻击，针对亚太地区（APAC）和中东-北非（MENA）地区的金融机构。

2024-04-12 18:52:11 618

原创网安播报 | GitHub遭遇严重的供应链“投毒”攻击，影响GG平台

多年来，威胁行为者一直在使用多种策略、技术和程序（TTP），包括劫持 GitHub账户、分发恶意 Python 包、使用虚假的 Python 基础设施以及社会工程进行攻击，最近的受害者之一是 Top.gg，这是一个流行的搜索和发现平台，拥有超过 170,000 名成员。本次 Top.gg Discord 机器人社区受到供应链攻击，该攻击旨在用窃取敏感信息的恶意软件感染开发人员。

2024-03-29 16:13:37 364

原创网安播报|开源Xeno RAT特洛伊木马在GitHub上成为潜在威胁

一种“设计复杂”的远程访问特洛伊木马（RAT），称为Xeno RAT已在GitHub上提供，使其他参与者可以轻松访问，无需额外费用。开源RAT是用C#编写的，与Windows 10和Windows 11操作系统兼容，RAT具有“远程系统管理的一整套功能”，它有一个构建器，可以创建恶意软件的定制变体。

2024-03-01 17:39:31 1216

原创网安播报 | AI生成代码对组织和软件供应链构成了重大风险

根据Veracode最新发布的软件安全报告，42%的应用程序和71%的组织中普遍存在软件安全债务，而AI生成代码的激增将导致安全债务问题恶化并对软件供应链构成重大风险。更令人担忧的是，46%的组织持续存在高危漏洞，这些漏洞构成“关键”安全债务，使企业在机密性、完整性和可用性方面面临严重风险。报告称，63%的应用程序存在第一方代码漏洞，而70%包含通过第三方库引入的第三方代码漏洞。这凸显了在整个软件开发生命周期中测试这两种类型的代码的重要性。

2024-02-23 17:14:22 497

原创 CVE-2024-23897 Jenkins 任意文件读取漏洞

Jenkins 有一个内置的命令行界面CLI，在处理 CLI 命令时Jenkins 使用args4j 库解析 Jenkins 控制器上的命令参数和选项。此命令解析器具有一个功能，可以将@参数中后跟文件路径的字符替换为文件内容 ( expandAtFiles)。根据Jenkins 官方描述，具有Overall/Read权限的攻击者可以读取整个文件，未授权的攻击者仅能读取文件前几行内容。攻击者可以通过读取jenkins文件获取相关密钥从而实现命令执行。

2024-01-26 18:51:32 3045

原创认可再+1！棱镜七彩再获工信部电子五所感谢信

棱镜七彩始终坚持自主研发，深入布局信创产业。作为工信部电子五所在软件供应链领域的重要合作伙伴，棱镜七彩与工信部电子五所通力合作，积极参与工信部电子五所开展的测试大纲制定、系列技术标准研制、技术研讨交流活动、产业研究和应用推广等相关工作，给予专家人员和技术协助等资源支持，为推动我国信创产业高速发展提供良好助力。新的一年，棱镜七彩将继续携手工信部电子五所，强化供应链安全保障能力，激发产业自主创新活力，为推动信创产品技术攻关，推进信息技术应用创新高质量发展贡献七彩力量。

2024-01-26 14:31:32 284

原创 CVE-2023-46226 Apache iotdb远程代码执行漏洞

JEXL是一个表达式语言引擎，全称是Java表达式语言(Java Expression Language)，可以在 java 程序中动态地运算一些表达式在受影响版本中，由于IoTDB通过UDTFJexl.java实现 JEXL 表达式支持。攻击者可以通过配置 UDF，调用 JEXL表达式来执行 JAVA命令，导致存在远程代码执行漏洞。

2024-01-19 18:34:57 652

原创棱镜七彩荣获信创工委会“卓越贡献成员单位”

棱镜七彩是信创生态建设的重要成员，自加入信创工委会以来，依托自身在开源领域的技术积累和创新实践，一直全力支持信创工委会在应用推广、标准制定、领域人才培养等方面的研究与支撑服务。作为是信创产业的积极践行者，目前，棱镜七彩已承担开源相关国家重大科研课题4项，累计参与超35项标准制定、规范及白皮书、研究报告撰写，同时棱镜七彩提出的信创开源治理思路受到了业内的一致关注，得到业内充分认可和肯定。随着数字经济的加速发展，坚持科技自主创新已成为打造“数字中国”的基石，而信创产业则是推动科技创新领域发展的重中之重。

2024-01-17 14:18:51 408

原创 CVE-2023-50290 Apache Solr 敏感信息泄露

Apache Solr 中未经授权的参与者漏洞暴露敏感信息。Solr Metrics API 发布每个 Apache Solr 实例可用的所有未受保护的环境变量。用户可以指定要隐藏哪些环境变量，但是，默认列表旨在适用于已知的秘密 Java 系统属性。环境变量不能像 Java 系统属性那样在 Solr 中严格定义，并且可以为整个主机设置，这与按 Java 进程设置的 Java 系统属性不同。

2024-01-16 11:34:00 1113

原创棱镜七彩入选中国数字安全能力图谱（精选版）“SCA”领域

棱镜七彩作为一家专注于开源治理与软件供应链安全的技术服务提供商和数据服务运营商，利用先进的开源技术理念，依托可信开源技术研究和软件供应链安全行业应用，加速构建软件产业和行业领域安全合规治理能力，致力于为客户提供全面的开源软件治理与软件供应链安全解决方案，全面保障企业开源资产的安全性与合规性。中国数字安全能力图谱”旨在反映中国数字安全产业市场规律和产业创新，本次“中国数字安全能力图谱（精选版）”在“中国数字安全能力图谱”的基础上，近日，数世咨询正式发布2023年度中国数字安全能力图谱（精选版），

2024-01-10 16:08:15 430

原创专业能力再获赞！棱镜七彩收到中国软件评测中心感谢信

中国软件评测中心成立于1990 年，是工业和信息化部直属的国家一级科研事业单位，致力于推动信息技术应用创新产业发展，依托基础软件质量控制与技术评价工业和信息化部重点实验室，与业界协同开展产业研究、适配测试、人才培养、供需对接、应用推广等系列工作，为促进我国信息产业发展和信息化建设做出了重要贡献。

2024-01-05 17:39:24 474

原创棱镜七彩获评“2023年江苏省软件企业核心竞争力（创新型）企业”

棱镜七彩作为国内专注于开源安全、软件供应链安全的创新型科技企业，以开源数据为基础，软件成分分析为核心技术，致力于为客户提供全面自主安全的开源软件治理与软件供应链安全解决方案。本次会议上发布了2023年江苏省软件企业核心竞争力评价结果并进行颁奖授牌，此次评选依据《软件企业核心竞争力评价规范》（T/JSIA 0001-2020），以行业统计数据为基准，结合专家评议，对参与企业的规模、技术创新能力、产品研发能力、市场竞争力等要素进行综合评价，优中选优，最终评选出具有核心竞争力的优秀软件企业。

2024-01-03 17:07:31 398

原创 Apache OFBiz groovy 远程代码执行漏洞（CVE-2023-51467）

Apache OFBiz 在后台提供了执行groovy 代码的功能，但是由于存在认证绕过问题，攻击者可构造恶意请求绕过身份认证，利用后台相关接口功能执行groovy代码，执行任意命令，控制服务器。

2023-12-28 20:03:05 715

原创再获认可！棱镜七彩荣获ISC2023数字安全创新能力百强

本次棱镜七彩入围供应链与应用安全领域的FOSSEye开源安全与合规治理平台，是基于“安全左移”和DevSCAOps的理念打造的一款全方位智能软件成分分析平台，平台同时具备源代码、组件依赖、二进制、容器镜像4大核心成分分析引擎，能够快速、准确识别软件中所使用到的第三方开源组件，通过关联分析技术识别软件中潜在的安全漏洞和许可证信息，综合判断相关风险，并给出相关风险修复建议，并依托SBOM台账管理能力赋能企业对内部软件资产形成全面、持续的安全运营，帮助企业做到软件产品实际意义上的可知可控，护航企业网络安全。

2023-12-27 21:18:01 427

原创实力上榜|棱镜七彩荣登《嘶吼2023中国网络安全产业势能榜》

目前，棱镜七彩的产品和服务已在互联网平台、检测认证机构、金融机构、国企央企、各行业软件开发企业等领域获得广泛应用。据悉，《2023中国网络安全产业势能榜》旨在深入研判和展望中国网络安全产业的发展趋势，赋能网安领域头部厂商担负起自主创新、乘势而上的产业责任。本次评选历时数月，选取了十大热门行业（政府、金融、能源、制造、运营商、互联网、电力、教育、医疗、交通），以及三大厂商类型（“综合型”、“专精型”、“创新型”），从参与报名的300多家厂商中，最终评选出105家优秀的行业安全厂商予以表彰并颁发荣誉奖牌。

2023-12-26 18:24:57 422

原创棱镜七彩亮相2023北京国际金融安全论坛，助力金融行业开源治理

依托自身在开源领域的技术积累与数据支撑，棱镜七彩深度参与《金融业开源软件应用管理指南》、《证券基金业机构开源软件引入规范》等金融行业标准制定，荣获“金融开源技术服务商能力评估证书”、“2022信创大比武金融业务应用支撑技术赛道-优秀支撑单位”等重要奖项，更是作为首批成员加入“金融业开源的技术应用与发展实验室”，为金融行业提供专业的开源软件商业化产品、开源技术支持、开源管理咨询等服务。金融是国民经济的命脉，是国家核心竞争力的重要组成部分，维护金融安全是关系我国经济社会发展全局的战略性、根本性大事。

2023-12-25 18:40:00 374

原创 CVE-2023-49898 Apache incubator-streampark 远程命令执行漏洞

在streampark中，项目模块集成了Maven的编译功能。但是没有检查Maven的编译参数。允许攻击者插入命令进行远程命令执行。

2023-12-22 16:39:51 1553

原创棱镜七彩获工业和信息化部电子第五研究所感谢信

服务保障平台和赛宝优选平台应用解决方案征集系统关系着工信部电子五所系统与产业生态运营活动的稳定运行，棱镜七彩在受到工信部电子五所的邀请后，专门安排项目组专项参与系统研发和运维保障工作，面对时间紧、任务重的情况，迎难直上，在工作中认真负责的态度和过硬的工作能力也受到了工信部电子五所的高度认可。

2023-12-21 18:28:25 454

原创喜报|棱镜七彩获评江苏省专精特新中小企业

作为一家肯创新、有技术、有潜力的高新技术企业，棱镜七彩自成立以来就专注于开源治理以及软件供应链安全领域，基于长期的开源数据积累和特有的软件成分分析技术打造了FOSSeye、FOSScheck、FOSSBinary 等一系列产品，能够为用户提供开源组件安全与合规分析管理、开源许可证深度治理、开源组件全生命周期管理等全面的开源软件治理与软件供应链安全解决方案，全面保障企业开源资产的安全性与合规性。被认定的企业具备市场占有率高、创新能力强、成长性好等特点，是优质中小企业的中坚力量，是国家支持培育的重点对象。

2023-12-19 16:52:13 398

开源软件供应链安全风险研究报告

空空如也