供应链安全

警惕供应链陷阱：从 Red Hat npm 恶意包事件看依赖安全防护在现代软件开发的宏大叙事中，开源供应链安全已经成为最惊心动魄的章节之一。近期，安全社区爆出的一起针对 Red Hat Cloud Services 的恶意 npm 包事件，再次为我们敲响了警钟。这不仅仅是一次简单的安全通报，它揭示了当前软件供应链攻击手段的隐蔽性与危害性正在不断升级。

Red Hat npm 包被植入凭证窃取蠕虫：Miasma 供应链攻击的完整技术复盘2026年6月1日，Socket 安全团队披露了一起代号为 Miasma 的供应链攻击事件：攻击者向 Red Hat 的 @redhat-cloud-services 命名空间下至少 4 个 npm 包注入了恶意代码。任何开发者执行 npm install 时，恶意代码即触发——窃取本机凭证和密钥，并投放自传播蠕虫。

为什么买了 SCA 工具，开源依赖还是管不住？上一篇结尾留了一个问题：当开发引入一个高风险组件时，企业有没有能力阻止它进入生产环境？答案是：大多数企业没有。

很多企业做了 SBOM，为什么依然管不住依赖？上一篇聊到，很多企业做了 DevOps，开源依赖还是管不好。根本原因之一：不知道自己的系统里到底有什么。

科技早报晚报｜2026年5月12日：GUI Agent、编程会话工作台与 npm 安装门禁，今晚更值得做的 3 个技术机会一句话导读：今晚这轮技术信号的共同点不是“又一个更聪明的聊天框”，而是 AI 工具正在进入真实操作现场：它要能操作电脑、管理多个编码会话、进入 Git worktree、也要在依赖安装这种老问题上补安全门禁。对独立开发者和小团队来说，机会不在复刻大模型，而在把这些高频工作流做成可控、可审计、可交付的产品。

为什么做了 DevOps，你还是管不好开源依赖？上一篇提到，很多企业在漏洞爆发时，甚至不知道自己系统里用了什么。很多人会觉得："我们已经做了 DevOps，CI/CD 跑得很溜，应该没问题了吧？"

漠月瑾-西安

软件供应链安全：从“查户口”到“全链路免疫”的纵深防御实战现代软件开发早已不是“闭门造车”，而是由开源组件、第三方库、CI/CD流水线拼接而成的复杂产业链。攻击者发现，与其正面强攻防守严密的企业边界，不如迂回攻击防御薄弱的上游供应商或开源生态。

给AI装上“万能工具箱”：OpenClaw Skills从入门到安全实战最近“养龙虾”的热度有多高？GitHub上OpenClaw主仓库星标数已经超过33万，成为开源界现象级产品。但很多新用户兴冲冲部署完之后，很快陷入一种尴尬的境地——自家的“龙虾”好像有点呆，只能简单对话，别人家的“龙虾”却能上网、会生图、做视频、管代码，十八般武艺样样精通。

安当加密0301

汽车 ECU “一芯一证” 实现详解：头部车企四级密钥体系实践我们是国内某头部汽车集团，旗下拥有多个自主品牌及合资品牌，正加速向智能网联与电动化转型。但随着 ECU（电子控制单元）数量激增——单辆车超过百个，安全挑战日益严峻：

恶意npm包修改本地“以太坊”库以发起反弹Shell攻击网络安全研究人员近日在 npm（Node Package Manager）库上有了重大发现：两个精心设计的恶意软件包悄然现身。这些恶意软件包的目标并非直接对系统发起攻击，而是专门针对本地已安装的其他软件包下手，这一发现进一步揭示了软件供应链攻击在开源生态系统中不断演变的严峻态势。

【供应链安全】对了解供应链安全的扫盲供应链安全是网络安全领域中的一个重要概念，涉及保护产品和服务从设计、生产到交付整个供应链过程中免受各种威胁和攻击。

（SAST检测规则-3）固定的 SessionID 缺陷详解漏洞类型：会话固定攻击（Session Fixation Attack）漏洞描述：会话固定攻击是利用服务器的会话管理机制存在漏洞，攻击者通过提前控制或预测用户的会话标识符（Session ID），当用户登录后，攻击者便能够冒充用户身份，获得未经授权的访问权限。这类攻击通常发生在 Web 应用程序使用固定的会话标识符的情况下，特别是在用户首次访问时，应用程序为每个用户创建一个匿名的会话标识符，然后在用户登录后将其提升为一个认证的会话标识符。

供应链投毒预警 | utilitytool系列Py包开展XenoRAT远控木马投毒上周（2024年6月14号），悬镜供应链安全情报中心在Pypi官方仓库（https://pypi.org/）中捕获2起针对Windows系统的Python包投毒事件，涉及Python组件包utilitytool及utilitytools，投毒者（anthonyclegg69420@gmail.com）连续发布多个不同版本的恶意包，这些恶意包主要针对Windows平台Python开发者。受害者一旦安装该系列恶意包，系统会被植入XenoRAT恶意木马程序，导致Windows系统被远控。

镜视界 | DevSecOps CI/CD 管道中数字供应链安全的集成策略本文字数：7715，阅读时长：19分钟在敏捷开发的模式下，应用程序会通过 DevSecOps 的敏捷软件开发生命周期（SDLC）范式进行开发，并使用持续集成/持续交付（CI/CD）管道的流程。

供应链攻击揭秘：识别、防范与应对供应链攻击是网络安全领域的一种新兴威胁，它利用供应链中的漏洞对目标进行攻击。本文将介绍供应链攻击的概念、类型、危害，并通过具体案例阐述其影响，同时探讨如何防范供应链攻击，以提高人们对供应链攻击的认识和防范意识。

【解读】Synopsys发布2024年开源安全和风险分析报告OSSRA软件供应链管理中，许可证和安全合规性至关重要。开源组件和库可降低风险，但需了解许可证内容。Synopsys 2023年审计发现，超过一半的代码库存在许可证冲突。MIT许可证是最常用的宽松许可证，但也与其他许可证存在不兼容风险。点此获取报告原文（中文翻译版本，访问密码：6277）。

Patch2QL：开源供应链漏洞挖掘和检测的新方向开源生态的上下游中，漏洞可能存在多种成因有渊源的其它缺陷，统称为“同源漏洞”，典型如：同源漏洞的威胁，在真实世界中缺少足够的研究，却影响深重。例如，上游开源项目的漏洞与补丁完全公开，使得黑客人工分析与历史高危漏洞相似的缺陷并利用，成本更低。而下游项目开发者常常不会主动跟踪其使用的开源代码的安全漏洞，导致很多关键系统可能带着多年漏洞运转，更是为黑灰产无感知地渗透进去提供了方便。

开源治理典型案例分享（汇编转）当前，越来越多的企业申请通过信通院的开源治理成熟度评估和认证，获得增强级或先进级评估。这些企业包括中国工商银行股份有限公司、中国农业银行、上海浦东发展银行股份有限公司、中信银行股份有限公司、中国太平洋保险（集团）股份有限公司、招商银行股份有限公司（增强级）、西安银行股份有限公司（增强级）、宁波银行股份有限公司（增强级）、中国联合网络通信有限公司软件研究院（增强级）、中国移动通信集团有限公司等。下面我编著了这些企业在开源治理评估中的一些关键点，并对这些关键点添加作者的一些观点。

数据采集方法数据采集过程是数据流入数据中台的关键步骤，主要通过认证鉴权、关键数据源管控、采集数据传输安全、临时数据限制、日志记录和告警等多种措施来保障采安全性。需要考虑如下安全性：

信通院供应链安全&软件应用安全评估近几年，信通院发布了供应链安全和软件应用安全相关的一些标准以及评估模型，同时开展企业评估认证工作。这些也正是在安全形势日益严峻，且国内企业迫切需要自己国家的安全相关标准的评估和认证，也便于对企业进行供应链安全建设、软件应用安全建设成果的评估。这些评估模型和认证主要包括：