Star——Flying in the cyberspace

本报告继续针对国内企业自主开发的源代码、开源软件生态、国内企业软件开发中开源软件应用等的安全状况，以及典型应用系统供应链安全风险实例进行深入分析，并总结趋势和变化。相比于去年的报告，本报告有以下新增之处：在开源软件生态发展与安全部分新增了开源项目维护者对他人提交安全问题的修复确认情况；在企业软件开发中的开源软件应用部分新增了对不同行业软件项目开源使用风险的分析，对开源许可协议的风险分析分别统计了超危和高危开源许可协议的使用情况；在典型软件供应链安全风险实例部分，通过多个新的实例再次验证了因软件供应链的复杂性，开源软件的“老漏洞”发挥“0day漏洞”攻击作用的状况。

详细介绍Bvp47美国NSA方程式的顶级后门的技术细节，来自奇安盘古实验室。

等级保护2.0的最新版全套标准，包括定级、基本要求、设计要求、测评过程、测评技术、测评要求、实施过程等相关标准。

文件清单： CIS Google Kubernetes Engine (GKE) Benchmark v1.0.0.pdf CIS_Aliyun_Linux_2_Benchmark_v1.0.0.pdf CIS_Amazon_Linux_2_Benchmark_v1.0.0.pdf CIS_Amazon_Linux_2_STIG_Benchmark_v1.0.0.pdf CIS_Amazon_Web_Services_Foundations_Benchmark_v1.2.0.pdf CIS_Amazon_Web_Services_Three-tier_Web_Architecture_Benchmark_v1.0.0.pdf CIS_Apache_HTTP_Server_2.4_Benchmark_v1.5.0.pdf CIS_Apache_Tomcat_9_Benchmark_v1.0.0.pdf CIS_Apple_iOS_12_Benchmark_v1.0.0.pdf CIS_Apple_iOS_13_and_iPadOS_13_Benchmark_v1.0.0.pdf CIS_CentOS_Linux_6_Benchmark_v2.1.0.pdf CIS_CentOS_Linux_8_Benchmark_v1.0.0.pdf CIS_Debian_Linux_10_Benchmark_v1.0.0.pdf CIS_Debian_Linux_8_Benchmark_v2.0.1.pdf CIS_Debian_Linux_9_Benchmark_v1.0.1.pdf CIS_Distribution_Independent_Linux_Benchmark_v2.0.0.pdf CIS_Docker_1.13.0_Benchmark_v1.0.0.pdf CIS_Docker_Benchmark_v1.2.0.pdf CIS_Docker_Community_Edition_Benchmark_v1.1.0.pdf CIS_Fedora_28_Family_Linux_Benchmark_v1.0.0.pdf CIS_Google_Android_Benchmark_v1.3.0.pdf CIS_Google_Chrome_Benchmark_v2.0.0.pdf CIS_Google_Cloud_Platform_Foundation_Benchmark_v1.1.0.pdf CIS_Kubernetes_Benchmark_v1.5.1.pdf CIS_Microsoft_Exchange_Server_2016_Benchmark_v1.0.0.pdf CIS_Microsoft_IIS_10_Benchmark_v1.1.1.pdf CIS_Microsoft_SQL_Server_2019_Benchmark_v1.0.0.pdf CIS_Microsoft_Windows_10_Enterprise_Release_1909_Benchmark_v1.8.1.pdf CIS_Microsoft_Windows_7_Workstation_Benchmark_v3.1.0.pdf CIS_Microsoft_Windows_8.1_Workstation_Benchmark_v2.3.0.pdf CIS_Microsoft_Windows_Server_2012_R2_Benchmark_v2.3.0.pdf CIS_Microsoft_Windows_Server_2019_RTM_Release_1809_Benchmark_v1.0.1.pdf CIS_MongoDB_3.4_Benchmark_v1.0.0.pdf CIS_MongoDB_3.6_Benchmark_v1.0.0.pdf CIS_NGINX_Benchmark_v1.0.0.pdf CIS_Oracle_MySQL_Community_Server_5.7_Benchmark_v1.0.0.pdf CIS_Oracle_MySQL_Enterprise_Edition_5.6_Benchmark_v1.1.0.pdf CIS_Oracle_Solaris_11.4_Benchmark_v1.0.0.pdf CIS_PostgreSQL_12_Benchmark_v1.0.0.pdf CIS_Red_Hat_Enterprise_Linux_7_Benchmark_v2.2.0.pdf CIS_Red_Hat_Enterprise_Linux_8_Benchmark_v1.0.0.pdf CIS_Security_Metrics-Quick_Start_Guide_v1.0.0.pdf CIS_Security_Metrics_v1.1.0.pdf CIS_SUSE_Linux_Enterprise_12_Benchmark_v2.1.0.pdf CIS_Ubuntu_Linux_16.04_LTS_Benchmark_v1.1.0.pdf CIS_Ubuntu_Linux_18.04_LTS_Benchmark_v2.0.1.pdf CIS_VMware_ESXi_6.5_Benchmark_v1.0.0.pdf CIS_VMware_ESXi_6.7_Benchmark_v1.0.0.pdf

SpotBugs是Findbugs的继任者，，使用静态分析来查找Java代码中bug。是一款自由软件，按照GNU Lesser General Public License 的条款发布。

云安全联盟CSA发布的最新版云安全控制矩阵CCM：CSA_CCM_v3.0.1-FedRAMP_5.2.15.xlsx

CSA最新发布的云安全指南v4.0，原版英文版。相比中文版的翻译内容，更清晰。

赛门铁克最新发布的Regin顶级间谍软件分析报告