- 博客(42)
- 收藏
- 关注
RSS订阅原创 供应链投毒预警 | 开源供应链投毒202404月报发布(含投毒案例分析)
针对本分析报告中的投毒样本,开发者可使用OpenSCA-cli,将受影响的组件包按如下示例保存为db.json文件(可参考总结中提到的组件包信息按格式增减),直接执行扫描命令(opensca-cli -db db.json -path ${project_path}),即可快速获知您的项目是否受到文中所披露的投毒包的影响。其中,投毒者最常用的攻击方式依旧是恶意文件执行(84.25%),其攻击流程是利用开源组件包管理器中的自定义指令来执行隐藏在组件安装包中的恶意文件。
2024-05-20 10:24:53
764
原创 有奖调研 | OpenSCA开源社区用户调研问卷
随着OpenSCA开源社区的不断发展,我们持续专注安全开发与开源治理实践,为全球用户提供一站式审查治理、SaaS云分析和精准情报预警的开源数字供应链安全赋能。为了更好地满足用户的需求,提升OpenSCA的实用性和易用性并促进社区的发展,我们决定发起一项用户调研活动,诚挚邀请您的参与
2024-05-14 18:07:36
267
原创 重大升级 | OpenSCA SaaS全面接入供应链安全情报!
结合社区用户反馈及研发小伙伴的积极探索, OpenSCA 项目组再次发力,SaaS版本重大升级啦!用户的需求是OpenSCA前进的动力,欢迎更多感兴趣的朋友们积极试用和反馈~
2024-05-13 17:15:53
317
原创 供应链投毒预警:恶意Py包伪装HTTP组件开展CStealer窃密后门攻击
2024年4月25号),悬镜供应链安全情报中心在Pypi官方仓库(https://pypi.org/)中捕获1起CStealer窃密后门投毒事件,投毒者连续发布6个不同版本的恶意Py包multiplerequests,目标针对windows平台python开发者,该恶意包在安装时会远程加载CStealer后门到受害者系统上执行,该后门会窃取受害者系统敏感信息、主流浏览器隐私数据、数字货币钱包应用数据以及系统屏幕截屏等。,若命令运行结果如下图所示,则代表系统已被安装该恶意组件,请尽快通过命令。
2024-04-30 15:20:55
1163
4
原创 悬镜安全random:解密供应链安全情报的头号黑客
random被称为“最低调的悬镜头号黑客”。网络攻防对抗从来都是不确定的,“看得清,跟得上,防得住”是做供应链安全情报的重任所在。
2024-04-26 17:56:40
606
原创 供应链投毒预警 | 开源供应链投毒202403月报发布啦!(含投毒案例分析)
针对文中分析的恶意投毒包,开发者可使用OpenSCA-cli,将受影响的组件包按如下示例保存为db.json文件(可参考总结中提到的组件包信息按格式增减),直接执行扫描命令(OpenSCA-cli -db db.json -path ${project_path}),即可快速获知您的项目是否受到文中所披露的投毒包的影响。其中,投毒者最常用的攻击方式依旧是恶意文件执行(45.44%),其攻击流程是利用开源组件包管理器中的自定义指令来执行隐藏在组件安装包中的恶意文件。该恶意Python组件总下载量为737次。
2024-04-15 16:37:11
3691
原创 供应链投毒预警 | 恶意NPM包利用Windows反向shell后门攻击开发者
此外,开发者也可使用OpenSCA-cli,将受影响的组件包按如下示例保存为db.json文件(可参考总结中提到的组件包信息按格式增减),直接执行扫描命令(opensca-cli -db db.json -path ${project_path}),即可快速获知您的项目是否受到投毒包影响。开发者一旦错误安装这些恶意组件包,则会自动触发执行恶意组件中的攻击代码,受害者系统将主动通过反向shell(Reverse Shell)的方式和攻击者控制的服务器端口建立后门连接,最终导致开发者系统被攻击者远程控制。
2024-02-29 17:56:00
631
原创 技术文档 | 使用 OpenSCA 批量扫描 Gitlab 仓库,盘点资产安心过节
按照下述教程快速批量扫描您的仓库,一旦新的攻击或0Day出现,通过资产清单即可快速定位漏洞及影响范围、有效缩短响应时间。-Windows(需要 PowerShell)- Windows (通过 Winget 安装)- Windows (通过 Scoop 安装)- MacOS/Linux (通过 Homebrew 安装)从GitHub或Gitee仓库下载对应系统和处理器架构的压缩包,解压到任意目录即可使用。
2024-02-29 17:06:51
501
原创 供应链投毒预警 | 开源供应链投毒202401最新月报来啦!
例如npm仓库的投毒包noblox.js-proxy-server,该投毒包伪装成github项目noblox/noblox.js(https://github.com/noblox/noblox.js.git)进行投毒攻击,主要通过在package.json中定义postinstall指令,postinstall指令在安装投毒包时将自动触发执行包含混淆代码的postinstall.js恶意文件。此外,投毒者开始利用代码内存执行、代码混淆等安全对抗技术来躲避安全检测,这对于投毒包检测来说将面临更大的挑战。
2024-02-29 14:39:37
1232
原创 技术文档 | 将 OpenSCA 接入 GitHub Action,从软件供应链入口控制风险面
继 Jenkins 和 Gitlab CI 之后,GitHub Action 的集成也安排上啦~若您解锁了其他 OpenSCA 的用法,也欢迎向项目组来稿,将经验分享给社区的小伙伴们~
2024-01-18 14:36:16
464
原创 重磅发布|OpenSCA SaaS全新上线
本次SaaS版本采用的是OpenSCA-cli全新升级的v3.0.0解析引擎,在已有的能力基础上,新引擎特地为14种特殊情况设计了对应的解析逻辑,大大提升了对复杂情况的支持,检测精度遥遥领先。支持生成国际三大主流SBOM格式SPDX、CDX、SWID,及中国首个数字供应链SBOM格式DSDX,并支持不同格式SBOM清单间的相互转化。对于不便提供特征文件的场景,直接上传标准格式SBOM清单即可输出项目的依赖信息、漏洞和许可证信息。检出的许可证支持展示详细的授权条款、兼容性及风险说明,合规风险把控稳稳拿捏。
2023-12-22 14:45:03
388
原创 OpenSCA受邀出席2023 Open Compliance Summit
作为全球首个开源数字供应链安全社区,OpenSCA屡获国内外权威认可,获评GVP(Gitee最有价值开源项目)、中国软博会“全球十大开源软件产品”、Cybersecurity Excellence Awards:Open-Source Security Gold Winner(开源安全金奖)等,OpenSCA深度挖掘组件中潜藏的各类安全漏洞及开源协议风险,输出透明化的组件资产及漏洞风险清单,持续为企业及个人用户提供低成本、高精度、稳定易用的开源数字供应链安全解决方案。
2023-12-14 15:38:55
79
原创 技术分享 | 不同格式标准SBOM清单横评:SPDX、CDX和DSDX
基于广大社区用户的实践反馈及对国际标准格式的研究,今年8月推出的DSDX着重考虑了运行环境及供应链流转信息的引入,以最小集/扩展集的形式增强了SBOM应用的灵活性,并考虑了国内企业出海合规相关需求的场景。简言之,唯一被写入ISO国际标准的SPDX在标准化的基础上相对更关注对许可证信息的描述,能记录更多安全及服务相关信息的CDX有更强的扩展性,而基于国内实践发布的DSDX则引入了运行环境及供应链流转信息并对描述对象做了最小集/扩展集的拆分。,前两者由于记录着更详细的依赖信息而得到了更广泛的使用。
2023-12-01 16:36:04
1455
原创 供应链安全情报 | 恶意 py 包伪装代理 SDK 进行后门攻击,目标锁定 python 开发者
截至目前,这些恶意组件包仍可从国内主流Pypi镜像源正常下载安装,国内Python开发者仍面临被投毒攻击的安全风险,开发者需提高安全防护意识,可自行根据以上IoC和组件信息排查是否安装或引用恶意组件包。本次py投毒组件在安装包setup.py脚本中自定义install命令类执行恶意操作,通过从远程服务器上拉取加密的恶意代码进行解密释放出第二阶段攻击使用的shellcode代码,shellcode代码直接在系统内存中执行,无恶意文件落盘行为,具备较高的攻击隐蔽性。
2023-12-01 15:33:05
122
原创 版本升级 | v3.0.0卷起来了!多种特殊情况解析轻松拿捏!
执行检测时,若不指定-out参数,OpenSCA会将检测结果直接输出到命令行/执行检测的终端界面。v3.0.0优化了命令行检出结果的展示方式,支持交互式浏览依赖树视图,可以通过键盘快捷键展开或折叠依赖树的节点,查看组件信息、漏洞信息以及 License 等信息。在过往发行版的基础上,结合社区用户提供的大量反馈及研发小伙伴的积极探索,项目组对OpenSCA的。细心的朋友可能已经发现,与过去相比,上方的使用样例中少了-url参数。特殊情况设计了对应的解析逻辑,大大提升了对复杂情况的支持。
2023-11-22 10:34:04
77
原创 供应链安全情报 | cURL最新远程堆溢出漏洞复现与修复建议
cURL 是一个支持多种网络协议的开源项目,被广泛集成到自动化构建、网络测试、网络数据采集以及其他网络相关的任务中,备受开发者和系统管理员青睐。cURL在今天下午紧急发布最新版本来修复前几日发现的高危安全漏洞,其中编号为CVE-2023-38545的漏洞是cURL客户端在处理SOCKS5协议时存在的堆内存溢出漏洞。
2023-10-12 11:25:02
484
原创 安全情报 | Pypi再现窃密攻击投毒
9月10日起,有投毒者持续向官方Pypi仓库中投放urllitelib、urtelib32、graphql32等多个版本的恶意Py包,请及时排查。
2023-09-19 15:23:04
132
原创 版本升级 | v1.0.13发布,传下去:更好用了
本次更新主要聚焦兼容性的提升及结果报告格式的增加,另外对部分解析逻辑及使用体验进行了优化。特别鸣谢@Hugo-X的PR贡献~
2023-08-25 14:36:27
182
1
原创 大会回顾 | 有干货!有人气!有乐趣!
大会回顾来啦~ 感谢大家的关注和支持。很多朋友关心大会发布的相关材料,这块我们内部整理完毕后会尽快同步出来~
2023-08-17 14:58:02
114
1
原创 叮~OpenSCA社区拍了拍您并发来一份开源盛会邀请函
8月10日,2023数字供应链安全大会将在北京隆重举行,我们在国家会议中心等你呦~(报名参会方式请见文末)
2023-07-26 17:34:24
80
1
原创 SCA技术进阶系列(三):浅谈二进制SCA在数字供应链安全体系中的应用
开源代码安全问题不仅存在于源代码,在构建过程中也会引入问题,因此构建阶段的二进制产物有必要进行SCA分析。快点进来了解一下二进制SCA在数字供应链安全体系中的应用吧~
2023-07-21 15:03:03
304
1
原创 KCD技术分享:以SBOM为基础的云原生应用安全治理
SBOM是代码中所有开放源代码和第三方组件的清单。实施 SBOM 有助于揭示整个软件供应链中的漏洞与弱点、提高软件供应链的透明度、减轻软件供应链攻击的威胁,进而增强云原生应用的安全。通过使用 SBOM 可以帮助企业进行漏洞管理、应急响应、资产管理、许可证和授权管理、知识产权管理、合规性管理、基线建立和配置管理等。下图为SBOM作用的一个例子。
2023-06-13 11:38:08
147
原创 SCA 技术进阶系列(二):代码同源检测技术在供应链安全治理中的应用
针对二次开发后的开源组件,常规的 SCA 工具难以识别其存在的风险,而代码同源检测技术可通过缺陷代码片段表征,对二次开发后的开源组件以及缺少版本特征的脚本型代码进行组件漏洞关联。同源检测技术是 SCA 技术的重要基础,源鉴 SCA 具有纵深代码同源检测核心能力,可以精准识别应用开发过程中引用的第三方开源组件,通过应用组成分析引警多维度提取开源组件特征,计算组件指纹信息,深度挖掘组件中潜藏的各类安全漏洞及开源协议风险,全覆供应链安全审查、软件合规性审查、第三方组件安全管控等行业应用场景。
2023-05-30 11:55:02
283
原创 版本升级 | v1.0.11 上线,你的需求被翻牌了吗?
让我们一起拥抱开源,共筑开源安全生态,促进开源产业健康发展。OpenSCA 的代码会在 GitHub 和 Gitee 持续迭代,欢迎 Star 和 PR,成为我们的开源贡献者,也可提交问题或建议至 Issues。继 1.0.8 版本支持了国际通用的 SPDX 标准格式的 SBOM 清单输出后,本次更新的 OpenSCA 将可以生成 Cyclonedx 及 SWID 标准格式的 SBOM 清单。从 1.0.11 开始,检测对象的组件风险及漏洞情况概览会直接打印至执行检测的终端界面,方便用户快速了解总体情况。
2023-05-30 11:50:29
139
原创 RSAC创新沙盒十强出炉,这家SCA公司火了
对于开发团队,可以协助做出更好的依赖引入选择,同时获得更合理的漏洞修复优先级,进而实现安全的无痛嵌入。在研发运营的整个周期中,有了这份透明化的资产清单,研发阶段可以及时替换安全版本的组件或修复漏洞,运营阶段新的漏洞爆发或出现新的利用方式时能够按图索骥,快速定位漏洞位置及影响范围,协助制定更高效合理的修复方案。依赖引入后,Endor Labs的工具会梳理代码中包含的所有的依赖情况并输出可视化的SBOM清单,同时会统计单个依赖被引入的次数,记录组织中最常用的依赖版本,便于减少依赖项的总量、控制依赖面。
2023-04-23 09:44:04
90
原创 详解软件供应链安全(上)
软件供应链安全是我们总在谈及的话题,但由于并没有对自身产生具体的影响,关于供应链安全的理解还停留在重大安全事件的旁观中。
2023-02-02 10:17:59
762
原创 透过安全事件看软件组成分析SCA
SCA(Software Composition Analysis)软件成分分析,通过检测软件许可证、依赖项以及代码库中的已知漏洞和潜在漏洞来分析开源组件,使DevOps能够管理其安全风险和许可证合规性。简单来说,SCA是一项通过分析软件包含的一些信息和特征来实现对该软件的识别、管理、追踪的技术。
2022-12-06 18:06:59
183
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人