软件供应链
文章平均质量分 86
GitMore
代码/开源/网络安全/DevSecOps/基础软件/软件供应链
展开
-
UniSCA漏洞优先级排序
如何有效地对漏洞进行优先排序?原创 2023-01-04 10:30:02 · 652 阅读 · 0 评论 -
UEFI固件使用OpenSSL暴露了软件材料清单(SBOM)
Binarly REsearch团队近日深入研究了最近的OpenSSL安全更新给UEFI固件供应链生态系统带来怎样的影响以及OpenSSL版本在固件环境中是如何广泛使用的。原创 2022-12-13 09:05:10 · 427 阅读 · 0 评论 -
微软S2C2F框架已被OpenSSF开源安全体系采用
S2C2F自2019年提出后,一直作为微软的一项内部倡议,直至此次被OpenSSF采用,它专注于开发集成人员对开源软件(OSS)使用的安全。原创 2022-11-29 09:36:35 · 336 阅读 · 0 评论 -
一种在行末隐藏有效载荷的新供应链攻击技术研判
近期,Phylum检测到数十个新发布的Pypi软件包执行供应链攻击原创 2022-11-22 09:36:45 · 178 阅读 · 0 评论 -
DevSecOps-你需要知道的一切
在过去的几年中,DevSecOps 已经成为 DevOps 生态系统中最热门的流行词之一。原创 2022-11-07 10:28:10 · 714 阅读 · 0 评论 -
谷歌推出开源计划GUAC,保护软件供应链安全
Graph for Understanding Artifact Composition (GUAC) 将软件安全元数据聚合到一个高保真图数据库中——规范化实体身份并映射它们之间的标准关系。查询此图表可以推动更高级别的组织成果,例如审计、政策、风险管理,甚至开发人员协助。原创 2022-10-27 19:46:51 · 1508 阅读 · 0 评论 -
美国政府备忘录中的软件自我认证
该备忘录指示政府机构要求软件供应商自行证明他们已经遵守了NIST安全软件开发指南,机构在使用新软件之前必须获得该软件的自我认证。原创 2022-09-29 10:26:11 · 396 阅读 · 0 评论 -
如何在软件供应链中验证第三方二进制组件
您是否将第三方软件集成到您的应用程序或产品中?您是否知道这个第三方软件是否存在已知漏洞?原创 2022-09-22 09:08:45 · 334 阅读 · 0 评论 -
NIST SP 800-161r1中的C-SCRM
今年5月初,NIST更新了关于整个网络供应链管理安全风险的建议。这份名为SP 800-161r1的文件中重点关注了C-SCRM(网络软件安全供应链风险管理实践)。原创 2022-09-15 09:38:19 · 1287 阅读 · 0 评论 -
软件供应链安全中的SSDF框架到底是什么?
NIST 创建了所谓的安全软件开发框架(SSDF),它描述了一组基于已建立的标准、指导和安全软件开发实践文档的高级实践。或者简单地说,SSDF是一套成熟的SDLC标准模型。原创 2022-09-07 10:16:04 · 1093 阅读 · 0 评论 -
管理Java依赖关系的最佳实践
据不完全统计,在一个Java应用程序中,依赖项约占二进制文件的80%-90%。因此,依赖的安全性和可靠性对于Java开发来说,是一个无法规避且十分重要的考量。在本文中,我们将为您提供一些处理Java依赖关系的建议以及自动化工具的最佳实践。原创 2022-09-02 10:48:14 · 437 阅读 · 0 评论 -
软件供应链安全:每个环节都很重要
供应链活动包括将原材料、组件和资源转化为成品的每一步,以及将其交付给最终客户。原创 2022-08-30 09:19:48 · 832 阅读 · 0 评论