- 博客(282)
- 收藏
- 关注
原创 SolarWinds再爆安全事件,11大关键漏洞引发关注;Python核心库被黑客盯上;AT&T遭入侵,几乎所有无线客户数据被窃取;黑客利用开源工具大肆攻击| 安全周报0719
SolarWinds再爆安全事件,11大关键漏洞或致敏感信息泄露。GitHub令牌泄露,Python核心存储库面临被黑客攻击风险!AT&T遭黑客入侵,几乎所有无线客户数据被窃取,你的隐私还在吗?
2024-07-19 17:26:41
2056
4
原创 软件安全成为就业黑马?四川某高校开展软件安全实训教学课程,持续输出人才
绵阳师范学院信息工程学院&开源网安网络安全与软件安全综合实训课程圆满完成。本次培训提升了学生对网络安全体系的探索兴趣与系统性认知,培养出了一批“实战型”网安战士。
2024-07-19 10:25:37
301
原创 揭秘2024网络安全产业图谱,谁霸榜了软件供应链安全领域?
国内网络安全知名咨询机构嘶吼安全产业研究院发布《嘶吼2024网络安全产业图谱》,全面展示了网络安全产业的构成及其重要组成部分,探索网络安全产业的竞争格局和发展前景。开源网安以卓越的产品创新力和强大的市场竞争力入选《嘶吼2024网络安全产业图谱》中SCA、IAST、Fuzz Testing、SAST、SDL、RASP、DevSecOps、渗透测试8大细分领域,并霸榜软件供应链安全大类
2024-07-18 17:08:26
244
原创 带有致命Bug的B-树代码(用C++/Python/Rust还原)
代码不安全,没点B树吗?编写B树时,我们可能会忽略一些错误,而这些错误导致严重问题,不经过代码审核工具检测评估,很可能会写入软件中
2024-07-18 09:34:29
1406
2
原创 月薪60K起?“软件安全”比“网络安全”薪资高在哪里?
年入百万??软件安全岗位的薪资待遇往往比网络安全岗位要丰厚那么一些,这到底是为啥呢?今天,就让我们来扒一扒其中的缘由。
2024-07-17 16:43:10
1932
5
原创 高薪软件安全岗位火热,某高校已连续4年开展软件安全实训教学课程,持续输出人才
开源网安与桂林电子科技大学计算机与信息安全学院信息安全专业实训课圆满完成。双方已连续四年共同开展网络安全与软件安全实训课程,建立人才体系,强化产教融合育人理念,提升学生适应企业岗位的工作能力与网络安全人才培养质量。
2024-07-15 14:36:31
318
原创 软件供应链危机扎顿爆发。60 个恶意软件包“入侵”NuGet 供应链;GitLab 关键漏洞曝光;npm、GitHub 和 jsDelivr 惊现被木马化的 jQuery 包 | 安全周报0712
60 个恶意软件包“入侵”NuGet 供应链,你的软件还安全吗?GitLab 关键漏洞曝光!攻击者竟能这样执行管道作业?PHP 漏洞被利用,恶意软件、DDoS 攻击泛滥成灾!RADIUS 协议漏洞让网络陷入中间人攻击危机!npm、GitHub 和 jsDelivr 惊现被木马化的 jQuery 包,你的网站危险了!
2024-07-12 11:34:26
1406
1
原创 银行开发安全的这些难题,IAST工具真能破解码?
银行业作为金融领域核心支柱,其数字化转型步伐迅速。银行各类线上业务发展势头强劲,软件开发在银行的经营运作中逐渐成为核心环节。由于银行业务需要时刻处理大量客户信息和金融交易数据,因此在软件开发过程中必须高度重视安全问题,稍有不慎,就会产生安全漏洞,导致严重的数据泄露风险。为此,大多数银行在研发环境下部署了各种安全测试工具,其中具备独特优势的灰盒测试(IAST)工具,在业务连续性要求极高的银行研发体系中发挥了关键作用,正逐渐成为银行解决软件开发安全难题的利器,备受青睐
2024-07-12 10:36:06
1882
2
原创 软件供应链安全:如何防范潜在的攻击?
软件生产组织面临越来越大的监管和法律压力,要求其保护供应链并确保软件的完整性,这不足为奇。在过去几年里,软件供应链已经成为攻击者越来越有吸引力的目标,他们看到了将攻击增加几个数量级的机会。例如,看看2021年的Log4j漏洞,Log4j(由Apache维护并用于无数不同应用程序的开源日志框架)是使数千个系统面临风险的漏洞的根源。Log4j的通信功能很容易受到攻击,因此为攻击者向日志中注入恶意代码提供了机会,这些代码随后可以在系统上执行。
2024-07-11 15:01:07
1407
原创 SFUZZ模糊测试平台全新升级,从标准到实践助力车企安全出海
糊测试平台SFuzz全新升级,参照各国相关标准要求进行针对性建设,可为智能网联汽车信息安全测试提供更为强大的工具支持。SFuzz向被测系统输入大量随机数据,模拟各种异常情况,可以发现被测系统内潜在的缺陷和漏洞,帮助车企快速定位并修复车辆网络系统内的安全隐患。
2024-07-09 15:05:00
970
原创 谁是国内唯一覆盖“开发安全”全领域厂商?
开源网安凭借其在软件安全领域的技术优势和服务能力,成功入选全景图中DevSecOps、SAST、IAST、SCA、Fuzzing、RASP以及培训认证七大领域。同时,也是众多厂商中唯一一家覆盖“开发安全”全领域的厂商
2024-07-08 10:14:30
257
原创 微软揭露罗克韦尔自动化的惊天漏洞;英特尔 CPU 新漏洞“Indirector”,敏感数据面临泄露危机!GitLab 关键漏洞曝光,14 个漏洞补丁来袭,CI/CD 管道安全告急 | 安全周报0705
微软发现罗克韦尔自动化 PanelView Plus 存在可被远程利用的安全漏洞,可能导致远程代码执行和拒绝服务状况。未知威胁行为者利用 Microsoft MSHTML 已修补的漏洞传播 MerkSpy 间谍软件,主要针对加、印、波、美用户,攻击始于 Word 文档。网络攻击活动使用 Donut 和 Sliver 框架瞄准以色列实体,利用特定设施和定制网站传递恶意软件。新的英特尔 CPU 漏洞“Indirector”使包括 Raptor Lake 和 Alder Lake 在内的产品易受侧信道攻击,
2024-07-05 11:21:19
1482
1
原创 如何利用 IAST 灰盒测试,强化安全策略??
IAST的安全策略不是孤立存在的,它应与企业整体安全战略紧密融合。企业安全战略通常涵盖网络安全、数据安全、人员安全等多个方面。交互式应用安全测试IAST的安全策略应遵循整体安全战略框架,明确其在整个安全体系中的定位和作用,与其他安全措施协同工作,共同实现企业安全目标。
2024-07-04 15:41:14
1301
1
原创 黑客大举入侵!多个WordPress插件被攻陷,流氓管理员账户横行;新型Medusa安卓木马疯狂袭击7国银行用户;Rust编写的P2PInfect僵尸网络疯狂演变 | 安全周报0628
该项目的原始创建者 Andrew Betts 敦促网站所有者立即删除它,并补充说“今天没有任何网站需要 polyfill[.]io 库中的任何 polyfill”,并且“添加到 Web 平台的大多数功能都很快被所有主流浏览器所采用,但也有一些例外,比如 Web Serial 和 Web Bluetooth,它们通常无法用 polyfill 实现。其中一类突出的攻击是提示注入,它指的是一种AI越狱,可用于无视大型语言模型提供商设置的路障,以防止产生攻击性、有害或非法内容,或执行违反应用程序预期用途的指令。
2024-06-28 12:40:18
1282
3
原创 从万里长城防御体系看软件安全体系建设@安全历史03
在安全建设中,也应采取与长城类似的集中式的安全管理与分散安全防护措施相结合的策略。DevSecOps中的流水线管理平台类似于长城防线上的关城,负责全局的安全策略制定、监控、管理和响应。而分散的安全防护措施分布在开发过程各个关键部位,高效协作,相互支援,配合防御不同类型的攻击、漏洞,打造高效、安全的研发体系
2024-06-27 11:22:05
1094
2
原创 开源网安参与编制的《代码大模型安全风险防范能力要求及评估方法》正式发布
代码大模型在代码生成、代码翻译、代码补全、错误定位与修复、自动化测试等方面为研发人员带来了极大便利的同时,也带来了对安全风险防范能力的挑战。基于此,中国信通院依托中国人工智能产业发展联盟(AIIA),联合开源网安和百度、蚂蚁集团、阿里云等业内近30家单位共同编制了《代码大模型安全风险防范能力要求及评估方法》规范(以下简称“规范”),经多次完善和修订,于近日正式定稿发布。
2024-06-24 10:57:59
393
原创 英特尔CPU惊爆重大安全漏洞!俄黑客团伙对法外交实体发动网络攻击!Rust恶意软件Fickle横空出世,最安全的语言也不安全| 安全周报0621
尽管APT29和Midnight Blizzard这两个名字可以互换使用,指代与俄罗斯对外情报局(SVR)相关的入侵集合,但ANSSI表示,它更倾向于将它们与第三个被称为Dark Halo的不同威胁团伙分开对待,Dark Halo被认为是2020年通过SolarWinds软件进行的供应链攻击事件的罪魁祸首。值得注意的是,DISGOMOJI正是黑莓公司在进行与Transparent Tribe(一个与巴基斯坦有联系的黑客团队)发起的攻击活动相关的基础设施分析时发现的那种“一体化”间谍工具。
2024-06-21 12:48:31
1289
1
原创 如何用SCA工具做好开源软件风险管理?
开源软件在使用中存在多种风险,如知识产权纠纷、安全漏洞威胁、质量不稳定隐患等。为应对这些风险,企业应采取开源风险管理策略,包括构建健全的开源治理体系、深入评估与审计开源软件、强化安全保障措施、确保严格的法律合规。同时,利用 SCA 工具做好开源风险管理,如进行全面的软件成分分析、与漏洞扫描工具协同检测、建立企业开源知识库、融入研发流程实现自动化检测、对开源软件持续监测和更新。开源软件风险管理至关重要,企业需充分认识风险类型,采取有效的开源治理解决方案,借助开源软件管理平台、开源软件项目管理工具等,做好开源软
2024-06-20 14:30:28
1721
3
原创 苹果发布云AI系统;谷歌警告0day漏洞被利用;微软紧急推迟 AI 召回功能;劫持活动瞄准 K8s 集群 | 网安周报0614
与 2023 年部署名为“代理-API”的 Kubernetes DaemonSet 的版本不同,最新版本利用看似良性的 DaemonSet,称为“k8s-设备-插件”和“pytorch-容器”,以最终在集群的所有节点上运行矿工。所有的苹果智能功能,无论是在设备上运行的还是依赖于 PCC 的,都利用内部生成模型,这些模型是在“许可数据”上训练的,包括为增强特定功能而选择的数据,以及由我们的网络爬虫 AppleBot 收集的公开可用数据。
2024-06-15 22:04:13
1745
2
原创 双喜临门 | 两大权威报告发布,开源网安实力登榜
开源网安成功入选《2024 年中国金融行业网络安全市场全景图》和 《2024安在新榜网络安全产品“大众点评”百强榜》
2024-06-13 14:39:39
480
原创 如何将IAST工具引入DevSecOps,让开发安全提速
在DevSecOps理念中,“安全”已不再是开发流程的附属品,而是与开发、测试、部署等环节并驾齐驱,形成了一条无缝衔接的安全生产线。为此,DevSecOps在落地实施过程中,对能够在多个阶段进行高效测试的工具提出了适应性要求。而IAST灰盒安全测试工具,可以满足DevSecOps理念的要求,不仅能够在软件开发过程中提供精准的安全风险检测,还能与开发流程紧密集成,跨越多个阶段为团队提供实时测试反馈,从而确保软件安全问题得到及时有效的解决
2024-06-12 15:03:35
1068
原创 IAST灰盒检测技术挖掘Web应用安全漏洞
随着Web应用的广泛使用,安全性问题也日益受到重视。Web应用面临着各种安全威胁,包括SQL注入、XSS、命令注入等。而传统的安全测试方法往往存在滞后性、误报率高等问题。IAST技术作为一种新兴的安全测试方法,能够在开发过程中实时发现和修复安全漏洞,极大地提高了Web应用的安全性
2024-06-07 14:33:54
473
原创 60万路由器一夜瘫痪,美国遭遇神秘网络攻击大灾难;木马肆虐俄罗斯,关键信息基础设施惨遭毒手!Oracle漏洞被利用,CISA紧急行动!| 安全周报0606
Recorded Future的Insikt Group表示:“从2023年4月到12月,BlueDelta在三个不同的阶段部署了HeadLace恶意软件,使用地理围栏技术针对整个欧洲的网络,重点是乌克兰。这个黑客团队以高度的隐蔽性和复杂性运作,经常通过深度准备和定制工具展示他们的适应性,并依赖合法的互联网服务(LIS)和本地二进制文件(LOLBins)来隐藏其在常规网络流量中的操作。“该事件发生在10月25日至27日的72小时内,使感染的设备永久性无法操作,并需要硬件更换,”公司在技术报告中表示。
2024-06-06 17:13:07
581
1
原创 “开源网安杯”湖北省第十三届高等职业院校羽毛球比赛圆满完成
近年来,开源网安已与武汉大学、中山大学、电子科技大学、武汉科技大学、大连理工大学等众多高校建立了生态合作,并在多所高校开设了软件安全培训课程、建立软件安全实验室、颁发“捍卫者”奖学金,推动在校学子德智体美全面发展,积蓄力量,为国家发展提供强劲动力
2024-06-04 17:42:56
277
原创 【软件安全国产化替代解决方案】亮相2024澳门万讯论坛
助力企业实现安全技术自主可控,完成软件安全产品国产化替代。开源网安已帮助包括澳门华人银行在内的银行、保险、汽车研究机构等行业的诸多企业实现了软件安全产品国产化替代。未来,开源网安将持续提升产品与服务能力,帮助更多企业夯实数字基础,保障业务平稳、高效运行
2024-06-04 17:39:46
384
原创 黑客团伙利用Python、Golang和Rust恶意软件袭击印国防部门;OpenAI揭秘,AI模型如何被用于全球虚假信息传播? | 安全周报0531
OpenAI揭秘:AI模型如何被用于全球虚假信息传播?紧急警告!CISA敦促修补被黑客利用的Linux内核大漏洞!警惕!网络罪犯利用Python包进行加密货币大盗!巴基斯坦黑客团伙利用Python、Golang和Rust恶意软件袭击印度国防部门!
2024-05-31 17:57:16
4562
8
原创 重庆人文科技学院建立“软件安全产学研基地”,推动西南地区软件安全发展
5月29日,开源网安与重庆人文科技学院签订了“产学研的校企合作协议”,并为共建的“重庆人文科技学院产学研基地”举办了授牌仪式
2024-05-31 11:11:22
498
原创 影响程序员发展,首个关于“软件供应链安全”国家标准发布,你该知道的10个问题!【附标准全文】
GB/T 43698-2024《网络安全技术 软件供应链安全要求》作为国内首个软件供应链安全的国标,对于程序员的影响深远。该标准的实施,不仅为程序员提供了明确的软件安全开发指导,还强化了他们在软件开发过程中对安全性的重视。程序员需要遵循这一标准,加强软件的安全设计和编码实践,确保软件产品的安全性和可靠性,从而为用户提供更加安全、稳定的软件服务
2024-05-24 19:06:47
1473
4
原创 时代终结,微软宣布淘汰VBScript;Flink漏洞被广泛利用;Grandoreiro银行木马强势回归,1500多家银行成攻击目标 | 安全周报0524
网络安全公司Sygnia在与The Hacker News分享的一份报告中表示:“虚拟化平台是组织IT基础设施的核心组件,然而它们经常存在固有的配置错误和漏洞,这使得它们成为威胁行为者滥用的有利且高效的目标。为了减轻此类威胁带来的风险,建议组织确保实施适当的监控和日志记录,建立强大的备份机制,实施强大的身份验证措施,加强环境安全,并实施网络限制以防止横向移动。自2024年3月以来,继1月份执法部门的一次打击行动之后,基于Windows的Grandoreiro银行木马的幕后威胁行为者又在全球范围内卷土重来。
2024-05-24 17:47:03
982
原创 首个“软件供应链安全”国家标准正式发布!ToB企业震荡,影响90%开发者
影响tob企业和广大开发者的国家标准发布了,迎来中国软件安全新时代,《网络安全技术 软件供应链安全要求》和《网络安全技术 软件产品开源代码安全评价方法》
2024-05-24 15:07:37
462
原创 朝鲜黑客扔出了【榴莲】,全新Golang恶意软件横行;紧急!Chrome新0day漏洞已遭黑客利用;恶意Python包伪装成Requests库分支 | 安全周报0517
朝鲜黑客部署了一种新型Golang恶意软件“榴莲”,针对两家韩国加密货币公司进行网络攻击。谷歌在Android 15中推出新功能,保护用户免受诈骗和恶意应用的侵害,第三方开发者可利用Play Integrity API保护应用。Cacti框架存在严重安全漏洞,可能让攻击者执行恶意代码,维护者已解决十几个漏洞。谷歌发布紧急修复程序,解决Chrome浏览器中的新零日漏洞CVE-2024-4761,该漏洞已在野外被积极利用。网络安全研究人员发现恶意Python包
2024-05-17 16:52:54
1012
原创 如何培养软件安全“尖兵”?成都信息工程大学是这么做的
“软件安全开发综合实训项目”不仅能够识别典型软件安全威胁与风险,进行安全设计与威胁建模,更能掌握安全编码的技能,熟练运用特定语言、常见安全框架与组件进行软件安全开发。此外,实训课程还着重培养学生制定和执行安全测试计划的能力,以及实施开源组件治理和代码审计评估的方法。最后,通过DevSecOps的实践,学生能够进一步了解如何有效提升软件开发整体安全质量的企业级方法。
2024-05-17 10:05:19
407
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人