势说新语
文章平均质量分 86
Sectrend安势信息
上海安势信息技术有限公司致力于解决软件供应链中的安全和合规问题。安势信息以行业领先的SCA (软件组成分析)产品作为切入点,围绕DevSecOps 流程,着力于从工具到流程再到组织,坚持持续创新,打造独具特色的端到端最佳实践。经过团队成员多年的持续积累,上海安势目前与国内多家高科技头部企业建立了深厚的合作关系。更多关于安势信息的信息,欢迎发送邮件至info@sectrend.com.cn垂询。
展开
-
最易受攻击的五大开源组件!这些组件你用了吗?
本文为大家简单介绍了亚洲地区最易受攻击的五大开源组件,然而就不完全数据显示,很多大型企业的代码中开源代码占据了超过了50%的比例,相信这远远不止五个组件。原创 2024-01-18 15:48:58 · 1473 阅读 · 0 评论 -
AIGC的狂欢,代码安全的隐患。
放眼全球,在欧美地区Github Copilot甚至已经成为欧美程序员标配,这足以体现AIGC的强大生命力。但使用AIGC,却将AIGC代码安全问题抛诸脑后的企业比比皆是,这不得不引起我们的重视。原创 2024-01-18 15:45:11 · 1013 阅读 · 0 评论 -
谁说SCA只能给程序员用?清源SCA助力法务人员管理代码合规风险!
SCA工具的存在为企业的漏洞管理能力以及开源代码风险管理带来了极大的价值,但在开源发展的早期,开源代码的合规风险却常常被企业所轻视甚至忽略,最终让企业因此付出了惨痛的代价。【法务人员审核—安全团队审核—返回开发整改】这样的一套流程下来,耗时久,极大降低研发效率,而且多个团队“你来我往”,难免互生嫌隙,都不想再继续推动合规问题或安全问题的解决。而随着近几年开源的发展及开源治理的逐步普及,代码的合规问题也终于受到了大家的重视,【1】A企业是上千人的大规模企业,内部的开发项目繁多,涉及的开源代码量极大。原创 2024-01-16 17:09:25 · 510 阅读 · 0 评论 -
SBOM喊话医疗器械网络安全:别慌,我罩你!Part Ⅱ
由于格式和软件标识符可能会在设备和存储库的生命周期中发生变化,因此,在设备标识符和一些用于记录SBOM信息的任何格式的文件之间进行对应的能力是这种SBOM存储库的最重要特征(比如SWID标签)。本文的上半篇,我们对SBOM在医疗器械行业中的应用有了一个大体的了解,同时还相对详细地探讨了制造商对于SBOM的收集、生成、分发、维护的一些注意事项分享。SBOM中包含的组件类型的范围可能取决于多种因素,包括但不限于:MDM的能力、HCP的期望、现有SBOM软件的成熟度以及未来可能出台的对于SBOM的相关法规要求。原创 2023-04-28 17:08:17 · 448 阅读 · 0 评论 -
SBOM喊话医疗器械网络安全:别慌,我罩你!Part Ⅰ
网络安全漏洞的独特之处在于,不同制造商生产的不同医疗设备可能会使用相同的组件,这些看似安全的设备如果使用了这个有漏洞的组件会受到广泛的影响。SBOM的深度是动态的,随着SBOM被市场的接受程度越来愈高,以及整个供应链对SBOM的要求越来越规范,也会使得SBOM的深度逐步提升。SBOM还是一个较新的概念,换句话说也就是仍处于一个被人们逐渐了解和接受的过程中,基于这样的情况我们就会发现已经流入市场的一些设备并没有提供对应的SBOM,乃至于对这些设备SBOM的最基本元素和信息我们都无从得知,原创 2023-04-27 14:59:28 · 273 阅读 · 0 评论 -
缤纷三月,安势信息邀您共话企业开源风险治理
由上海安势信息出品,Freebuf承办的「企业开源风险治理实践」峰会·北京站将于2023年3月22日在北京希尔顿逸林酒店举办。原创 2023-02-22 15:20:23 · 172 阅读 · 0 评论 -
新年伊始,谈谈开源软件供应链安全的新趋势
ChatGPT是人类科技发展的必然产物,但在积极拥抱新事物的同时,合理、合法地使用更为重要。开源软件也面临同样的挑战。清源(CleanSource) SCA可帮助企业降低和管理应用或容器中因使用开源软件和其他第三方代码(软件) 引入的安全、质量与许可证合规性风险。原创 2023-02-15 16:29:34 · 394 阅读 · 0 评论 -
从开源安全看汽车安全新挑战
汽车实现智能化、网联化、电动化、共享化的能力背后是不断增长的代码量。从 OEM 到 Tier 1 到 Tier 2 都需要构建生成 SBOM 的能力。SBOM 是开源治理的基础,当供应商或汽车 OEM 不了解产品软件中使用的所有开源代码时,就无法抵御针对开源组件的漏洞攻击。原创 2023-01-03 15:59:13 · 240 阅读 · 0 评论 -
《SBOM: 提高软件供应链透明度的关键》重磅白皮书来袭
安势信息作为守护软件供应链安全的一员,重磅发布《SBOM: 提高软件供应链透明度的关键》白皮书。白皮书不仅阐述了需要 SBOM 帮助企业提升软件供应链透明度的必要性及 SCA 工具的市场现状,而且提供了成熟的 SCA 解决方案。原创 2023-01-03 15:57:20 · 213 阅读 · 0 评论 -
为什么 FDA 和 MITRE 也提及 SBOM ? - 解读《医疗器械网络安全区域事件准备和响应手册》
在医疗领域,数字医疗市场规模持续增长,但医疗系统的网络安全事件频发。安势信息深度解读FDA与MITRE 发布的《医疗器械网络安全区域事件准备和响应手册》,分析其对医疗器械厂商的影响及应对措施。原创 2022-12-04 21:58:57 · 620 阅读 · 0 评论 -
企业数字化转型中面临的开源供应链的挑战及应对措施
上海安势信息技术有限公司技术市场总监王峰应邀参加“开源创新圆桌论坛(第一期)”并发表了题为《企业数字化转型中面临的开源供应链的挑战及应对措施》的主题演讲。结合企业数字化转型的背景,王峰分享了当今开源软件供应链主要面临的三大挑战:开源软件安全、开源许可证合规与软件供应链安全。并分别从技术、流程和组织方面介绍了企业应如何应对这三大挑战。最后,王峰举例分析了我国在开源治理领域与美欧存在的差距,并表示在各方的开放协作下,中国开源产业一定会发展的越来越好。原创 2022-12-04 21:55:54 · 545 阅读 · 0 评论 -
如何使用清源 CleanSource SCA 管理开源风险
在现代的开发模式中,开源可以说无所不在。从开源的 Linux 操作系统到 Kubernetes, Docker 这类开源的基础架构管理工具,再到 TensorFlow, PyTorch 这类 AI 和机器学习相关的开源库,几乎所有行业的应用都在很大程度上有开源软件的身影。更多更广泛的云原生应用的引入,更多更复杂的开源应用的使用场景,意味着组织面临着越来越多的风险。清源(CleanSource) SCA 可以无缝集成到SDLC(软件开发生命周期)和 CI/CD 工具链中,从最大限度保持开发和迭代速度。原创 2022-11-11 16:49:46 · 1462 阅读 · 0 评论 -
如何使用清源CleanSource SCA建立软件物料清单(SBOM)
清源(CleanSource) SCA通过生成的完整、准确和可追溯的 SBOM,不但可以帮助企业降低安全风险和法律合规风险,还可以提高软件供应链的效率并提供可追溯性。原创 2022-11-01 17:30:36 · 1686 阅读 · 0 评论 -
透过关键基础设施安全事件谈SBOM
Gartner 认为,到 2025 年,在具有采购关键任务软件解决方案的组织中,60%的组织将会在其许可和支持协议中强制要求披露 SBOM,而 2022 年这一比例还不到 5%。Gartner 进一步强调,如果软件供应商想在市场上保持竞争力,就必须准备向他们的客户提供SBOMs。原创 2022-11-01 17:24:02 · 170 阅读 · 0 评论 -
欧美开源法案频出,你准备好了吗?
欧盟《网络弹性法案》及美国参议院《2022 年保护开源软件法案》两大提案的相继出台,体现了两大海外市场对软件供应链安全的高度重视。不同的国际市场环境下,有着不同的法律规定。对出海企业来说,需要对开源软件安全投入更高的关注度。合规且安全的出海,企业才会有更多的创新和发展空间可言。原创 2022-10-17 11:58:37 · 1962 阅读 · 0 评论 -
深度解读 | 关于 SBOM 最基础元素,你需要知道的(Part III)
SBOM 要达成的目标还远远没有实现,需要通过不断地创新与迭代来完善,是一个长期的反复的过程。原创 2022-08-31 11:26:38 · 754 阅读 · 0 评论 -
深度解读 | 关于 SBOM 最基础元素,你需要知道的(Part II)
企业和组织应该将重点放到 SBOM 使用机制的实践和流程上,并且将其集成到安全开发生命周期的日常活动中。原创 2022-08-19 09:16:26 · 464 阅读 · 0 评论 -
「势说新语」浅谈软件许可证
软件从闭源为主到开源成为主流,经历了几十年的发展。世界范围内,由于知识产权越来越受到重视和法律层面的保护,开源软件许可证也已经被广泛视为一种具有法律效力的合约,它规定了在软件使用和分发过程中的权利和义务。...原创 2022-07-14 21:40:59 · 1628 阅读 · 0 评论 -
SLSA: 成功 SBOM 的促进剂
SLSA和SBOM,协同工作将会更加强大。转载 2022-06-23 20:03:52 · 399 阅读 · 0 评论 -
「势说新语」SBOM 在企业软件供应链管理中的重要性—安全漏洞篇
国内互联网企业大多已经采用 DevOps 的研发流程,那么把开源漏洞扫描融入到 DevOps 的工具链中,才能实现漏洞的早发现、早跟踪、早处理。在流程中的 SCA、SAST、DAST、IAST 等等测试就组成了 DevSecOps。企业需要建立标准化格式的软件物料清单(SBOM)来进行开源组件的管理。...原创 2022-06-17 12:30:26 · 1180 阅读 · 0 评论