- 博客(32)
- 收藏
- 关注
RSS订阅原创 最易受攻击的五大开源组件!这些组件你用了吗?
本文为大家简单介绍了亚洲地区最易受攻击的五大开源组件,然而就不完全数据显示,很多大型企业的代码中开源代码占据了超过了50%的比例,相信这远远不止五个组件。
2024-01-18 15:48:58
1481
原创 AIGC的狂欢,代码安全的隐患。
放眼全球,在欧美地区Github Copilot甚至已经成为欧美程序员标配,这足以体现AIGC的强大生命力。但使用AIGC,却将AIGC代码安全问题抛诸脑后的企业比比皆是,这不得不引起我们的重视。
2024-01-18 15:45:11
1018
原创 谁说SCA只能给程序员用?清源SCA助力法务人员管理代码合规风险!
SCA工具的存在为企业的漏洞管理能力以及开源代码风险管理带来了极大的价值,但在开源发展的早期,开源代码的合规风险却常常被企业所轻视甚至忽略,最终让企业因此付出了惨痛的代价。【法务人员审核—安全团队审核—返回开发整改】这样的一套流程下来,耗时久,极大降低研发效率,而且多个团队“你来我往”,难免互生嫌隙,都不想再继续推动合规问题或安全问题的解决。而随着近几年开源的发展及开源治理的逐步普及,代码的合规问题也终于受到了大家的重视,【1】A企业是上千人的大规模企业,内部的开发项目繁多,涉及的开源代码量极大。
2024-01-16 17:09:25
514
原创 SBOM喊话医疗器械网络安全:别慌,我罩你!Part Ⅱ
由于格式和软件标识符可能会在设备和存储库的生命周期中发生变化,因此,在设备标识符和一些用于记录SBOM信息的任何格式的文件之间进行对应的能力是这种SBOM存储库的最重要特征(比如SWID标签)。本文的上半篇,我们对SBOM在医疗器械行业中的应用有了一个大体的了解,同时还相对详细地探讨了制造商对于SBOM的收集、生成、分发、维护的一些注意事项分享。SBOM中包含的组件类型的范围可能取决于多种因素,包括但不限于:MDM的能力、HCP的期望、现有SBOM软件的成熟度以及未来可能出台的对于SBOM的相关法规要求。
2023-04-28 17:08:17
451
原创 SBOM喊话医疗器械网络安全:别慌,我罩你!Part Ⅰ
网络安全漏洞的独特之处在于,不同制造商生产的不同医疗设备可能会使用相同的组件,这些看似安全的设备如果使用了这个有漏洞的组件会受到广泛的影响。SBOM的深度是动态的,随着SBOM被市场的接受程度越来愈高,以及整个供应链对SBOM的要求越来越规范,也会使得SBOM的深度逐步提升。SBOM还是一个较新的概念,换句话说也就是仍处于一个被人们逐渐了解和接受的过程中,基于这样的情况我们就会发现已经流入市场的一些设备并没有提供对应的SBOM,乃至于对这些设备SBOM的最基本元素和信息我们都无从得知,
2023-04-27 14:59:28
275
原创 缤纷三月,安势信息邀您共话企业开源风险治理
由上海安势信息出品,Freebuf承办的「企业开源风险治理实践」峰会·北京站将于2023年3月22日在北京希尔顿逸林酒店举办。
2023-02-22 15:20:23
175
原创 新年伊始,谈谈开源软件供应链安全的新趋势
ChatGPT是人类科技发展的必然产物,但在积极拥抱新事物的同时,合理、合法地使用更为重要。开源软件也面临同样的挑战。清源(CleanSource) SCA可帮助企业降低和管理应用或容器中因使用开源软件和其他第三方代码(软件) 引入的安全、质量与许可证合规性风险。
2023-02-15 16:29:34
399
原创 安势信息入选 SegmentFault思否「2022 中国新锐技术先锋企业」
中国技术先锋年度评选 | 2022 中国新锐技术先锋企业榜单正式发布。安势信息作为领先的应用安全企业,入选 15 强之列。安势信息聚焦软件成分分析(SCA)、静态代码分析(SAST)等应用安全领域的产品研发,获多家头部投资机构青睐并完成数千万元Pre-A轮融资。
2023-02-15 16:10:06
100
原创 专注软件供应链安全,「安势信息」完成数千万元级别 Pre-A 轮融资
近日,专注软件供应链安全的「安势信息」宣布已完成 Pre-A 轮融资。本轮融资金额在数千万元级别,领投方为微智数科,晨壹投资跟投,山景资本担任独家财务顾问。SCA 工具之外,安势信息当前也在推进 SAST(静态应用程序安全测试,也称为白盒测试)产品线的研发。谈及如此设计产品线的思路,薛植元表示,SCA 意在帮助客户发现自己所使用的开源组件中的安全性问题,SAST 则能帮助客户检测自研代码中的缺陷与安全问题。这意味着,这两款产品的结合,可以覆盖企业构建软件过程中的大部分代码安全问题。
2023-01-03 16:02:03
122
原创 从开源安全看汽车安全新挑战
汽车实现智能化、网联化、电动化、共享化的能力背后是不断增长的代码量。从 OEM 到 Tier 1 到 Tier 2 都需要构建生成 SBOM 的能力。SBOM 是开源治理的基础,当供应商或汽车 OEM 不了解产品软件中使用的所有开源代码时,就无法抵御针对开源组件的漏洞攻击。
2023-01-03 15:59:13
241
原创 《SBOM: 提高软件供应链透明度的关键》重磅白皮书来袭
安势信息作为守护软件供应链安全的一员,重磅发布《SBOM: 提高软件供应链透明度的关键》白皮书。白皮书不仅阐述了需要 SBOM 帮助企业提升软件供应链透明度的必要性及 SCA 工具的市场现状,而且提供了成熟的 SCA 解决方案。
2023-01-03 15:57:20
215
原创 为什么 FDA 和 MITRE 也提及 SBOM ? - 解读《医疗器械网络安全区域事件准备和响应手册》
在医疗领域,数字医疗市场规模持续增长,但医疗系统的网络安全事件频发。安势信息深度解读FDA与MITRE 发布的《医疗器械网络安全区域事件准备和响应手册》,分析其对医疗器械厂商的影响及应对措施。
2022-12-04 21:58:57
621
原创 企业数字化转型中面临的开源供应链的挑战及应对措施
上海安势信息技术有限公司技术市场总监王峰应邀参加“开源创新圆桌论坛(第一期)”并发表了题为《企业数字化转型中面临的开源供应链的挑战及应对措施》的主题演讲。结合企业数字化转型的背景,王峰分享了当今开源软件供应链主要面临的三大挑战:开源软件安全、开源许可证合规与软件供应链安全。并分别从技术、流程和组织方面介绍了企业应如何应对这三大挑战。最后,王峰举例分析了我国在开源治理领域与美欧存在的差距,并表示在各方的开放协作下,中国开源产业一定会发展的越来越好。
2022-12-04 21:55:54
547
原创 如何使用清源 CleanSource SCA 管理开源风险
在现代的开发模式中,开源可以说无所不在。从开源的 Linux 操作系统到 Kubernetes, Docker 这类开源的基础架构管理工具,再到 TensorFlow, PyTorch 这类 AI 和机器学习相关的开源库,几乎所有行业的应用都在很大程度上有开源软件的身影。更多更广泛的云原生应用的引入,更多更复杂的开源应用的使用场景,意味着组织面临着越来越多的风险。清源(CleanSource) SCA 可以无缝集成到SDLC(软件开发生命周期)和 CI/CD 工具链中,从最大限度保持开发和迭代速度。
2022-11-11 16:49:46
1466
原创 如何使用清源CleanSource SCA建立软件物料清单(SBOM)
清源(CleanSource) SCA通过生成的完整、准确和可追溯的 SBOM,不但可以帮助企业降低安全风险和法律合规风险,还可以提高软件供应链的效率并提供可追溯性。
2022-11-01 17:30:36
1691
原创 透过关键基础设施安全事件谈SBOM
Gartner 认为,到 2025 年,在具有采购关键任务软件解决方案的组织中,60%的组织将会在其许可和支持协议中强制要求披露 SBOM,而 2022 年这一比例还不到 5%。Gartner 进一步强调,如果软件供应商想在市场上保持竞争力,就必须准备向他们的客户提供SBOMs。
2022-11-01 17:24:02
171
原创 欧美开源法案频出,你准备好了吗?
欧盟《网络弹性法案》及美国参议院《2022 年保护开源软件法案》两大提案的相继出台,体现了两大海外市场对软件供应链安全的高度重视。不同的国际市场环境下,有着不同的法律规定。对出海企业来说,需要对开源软件安全投入更高的关注度。合规且安全的出海,企业才会有更多的创新和发展空间可言。
2022-10-17 11:58:37
1965
原创 安势清源 SCA 助力超大规模高科技企业加速开源风险治理
近日,上海安势信息技术有限公司的清源SCA工具在腾讯成功部署。清源SCA工具,经过多轮PoC测试,从众多国内外竞品中脱颖而出,满足了腾讯对SCA工具的高标准要求:扫描速度快、扫描结果准确、及合规性扫描能力、知识库全面,达到提升内部安全与合规管控的目的。
2022-10-17 11:55:04
951
原创 深度解读 | 关于 SBOM 最基础元素,你需要知道的(Part III)
SBOM 要达成的目标还远远没有实现,需要通过不断地创新与迭代来完善,是一个长期的反复的过程。
2022-08-31 11:26:38
756
原创 深度解读 | 关于 SBOM 最基础元素,你需要知道的(Part II)
企业和组织应该将重点放到 SBOM 使用机制的实践和流程上,并且将其集成到安全开发生命周期的日常活动中。
2022-08-19 09:16:26
466
转载 如何有效规避代码被“投毒”?
开源软件供应链当前面临的主要是两大风险:一是安全风险,一是许可证、版权、专利和出口管制等方面的法律合规风险。当然针对使用开源软件的企业来说,还有供应链风险及运维风险。这些风险如何更好地规避?开源协议、开源组织都做了哪些事情?企业如何自查内部开源项目的安全性?...
2022-08-09 11:46:01
352
原创 活动回顾 | 大咖云集“开源安全治理模型和工具”线上研讨会
7 月 22 日下午,中国信息通信研究院与 OpenSSF 中国开源安全工作组携手华为、中兴、安势信息等合作伙伴,围绕“开源安全治理的模型和工具”主题召开线上研讨会。研讨会邀请了 OpenSSF 中国开源安全工作组的专家、行业大咖共六位重磅嘉宾为大家带来精彩的主题演讲!...
2022-07-29 18:54:47
1114
原创 直播预告 | 7 月 22 日《开源安全治理模型和工具》线上研讨会
OpenSSF 中国开源安全工作组携手中国信通院、华为、中兴、安势信息等合作伙伴,为大家详细解读最新的开源安全治理的模型和工具等,为企业的开源安全治理提供新的助力。
2022-07-20 17:19:48
152
原创 「势说新语」浅谈软件许可证
软件从闭源为主到开源成为主流,经历了几十年的发展。世界范围内,由于知识产权越来越受到重视和法律层面的保护,开源软件许可证也已经被广泛视为一种具有法律效力的合约,它规定了在软件使用和分发过程中的权利和义务。...
2022-07-14 21:40:59
1631
原创 清源 (CleanSource) SCA 推出容器镜像扫描功能
清源(CleanSource) SCA,在提供完整的 SBOM 输出、准确的安全漏洞扫描和许可证分析的基础上,新增容器镜像安全扫描功能,以保障用户的容器镜像安全。
2022-07-08 18:27:43
1395
原创 「势说新语」SBOM 在企业软件供应链管理中的重要性—安全漏洞篇
国内互联网企业大多已经采用 DevOps 的研发流程,那么把开源漏洞扫描融入到 DevOps 的工具链中,才能实现漏洞的早发现、早跟踪、早处理。在流程中的 SCA、SAST、DAST、IAST 等等测试就组成了 DevSecOps。企业需要建立标准化格式的软件物料清单(SBOM)来进行开源组件的管理。...
2022-06-17 12:30:26
1183
原创 安势信息技术市场总监王峰,OpenChain 线上研讨会首秀!
作为中国市场领先的软件供应链安全治理工具提供商,安势信息加入 OpenChain 组织,将极大地促进开源许可证合规领域的国际标准 OpenChain ISO/IEC 5230 在中国市场的推广,并帮助其在企业落地实施。同时,作为 OpenChain 的一员,安势信息将持续对市场输出建立安全、可靠软件供应链的重要性的理念,不断提高市场对 SCA 工具和开源合规的重要性的认识。...
2022-06-14 10:25:18
373
原创 安势信息加入 Linux 基金会 OpenChain 项目,助力软件供应链安全
近日,上海安势信息技术有限公司(下称安势信息)对外宣布正式成为 DevSecOps 领域中国首家 OpenChain 项目会员。作为中国市场领先的软件供应链安全治理工具提供商,安势信息的加入标志着市场在自主选择安全、许可证合规的工具等方面又迈出了重要一步。......
2022-06-14 10:20:25
180
原创 安势信息加入 OpenSSF (开源安全基金会), 共建软件供应链安全
安势信息很荣幸能成为 OpenSSF 的一员,并期待与 Linux 基金会和 OpenSSF 合作伙伴一起保护世界开源软件的安全!
2022-06-14 10:00:03
2048
转载 OSPO如何帮助保护你的软件供应链
为了管理因使用开源代码而带来的潜在风险,每个公司需要清楚地了解其环境中使用了哪些开源代码,及时更新补丁,甚至在必要时进行漏洞扫描和评估。开源项目办公室(OSPO)— 一个由企业内部开源专家组成的机构,该机构专门负责管理公司如何使用、创建和贡献自由软件。可以帮助协调所有这些工作。...
2022-06-13 19:16:35
170
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人