供应链安全

供应链投毒预警 | utilitytool系列Py包开展XenoRAT远控木马投毒上周（2024年6月14号），悬镜供应链安全情报中心在Pypi官方仓库（https://pypi.org/）中捕获2起针对Windows系统的Python包投毒事件，涉及Python组件包utilitytool及utilitytools，投毒者（anthonyclegg69420@gmail.com）连续发布多个不同版本的恶意包，这些恶意包主要针对Windows平台Python开发者。受害者一旦安装该系列恶意包，系统会被植入XenoRAT恶意木马程序，导致Windows系统被远控。

镜视界 | DevSecOps CI/CD 管道中数字供应链安全的集成策略本文字数：7715，阅读时长：19分钟在敏捷开发的模式下，应用程序会通过 DevSecOps 的敏捷软件开发生命周期（SDLC）范式进行开发，并使用持续集成/持续交付（CI/CD）管道的流程。

供应链攻击揭秘：识别、防范与应对供应链攻击是网络安全领域的一种新兴威胁，它利用供应链中的漏洞对目标进行攻击。本文将介绍供应链攻击的概念、类型、危害，并通过具体案例阐述其影响，同时探讨如何防范供应链攻击，以提高人们对供应链攻击的认识和防范意识。

【解读】Synopsys发布2024年开源安全和风险分析报告OSSRA软件供应链管理中，许可证和安全合规性至关重要。开源组件和库可降低风险，但需了解许可证内容。Synopsys 2023年审计发现，超过一半的代码库存在许可证冲突。MIT许可证是最常用的宽松许可证，但也与其他许可证存在不兼容风险。点此获取报告原文（中文翻译版本，访问密码：6277）。

Patch2QL：开源供应链漏洞挖掘和检测的新方向开源生态的上下游中，漏洞可能存在多种成因有渊源的其它缺陷，统称为“同源漏洞”，典型如：同源漏洞的威胁，在真实世界中缺少足够的研究，却影响深重。例如，上游开源项目的漏洞与补丁完全公开，使得黑客人工分析与历史高危漏洞相似的缺陷并利用，成本更低。而下游项目开发者常常不会主动跟踪其使用的开源代码的安全漏洞，导致很多关键系统可能带着多年漏洞运转，更是为黑灰产无感知地渗透进去提供了方便。

开源治理典型案例分享（汇编转）当前，越来越多的企业申请通过信通院的开源治理成熟度评估和认证，获得增强级或先进级评估。这些企业包括中国工商银行股份有限公司、中国农业银行、上海浦东发展银行股份有限公司、中信银行股份有限公司、中国太平洋保险（集团）股份有限公司、招商银行股份有限公司（增强级）、西安银行股份有限公司（增强级）、宁波银行股份有限公司（增强级）、中国联合网络通信有限公司软件研究院（增强级）、中国移动通信集团有限公司等。下面我编著了这些企业在开源治理评估中的一些关键点，并对这些关键点添加作者的一些观点。

数据采集方法数据采集过程是数据流入数据中台的关键步骤，主要通过认证鉴权、关键数据源管控、采集数据传输安全、临时数据限制、日志记录和告警等多种措施来保障采安全性。需要考虑如下安全性：

信通院供应链安全&软件应用安全评估近几年，信通院发布了供应链安全和软件应用安全相关的一些标准以及评估模型，同时开展企业评估认证工作。这些也正是在安全形势日益严峻，且国内企业迫切需要自己国家的安全相关标准的评估和认证，也便于对企业进行供应链安全建设、软件应用安全建设成果的评估。这些评估模型和认证主要包括：

展望2024年供应链安全2023年是开展供应链安全，尤其是开源治理如火如荼的一年，开源治理是供应链安全最重要的一个方面，所以我们从开源治理谈起。我们先回顾一下2023的开源治理情况。我们从信通院《2023年中国企业开源治理全景观察》发布的信息。信通院调研了来自七个行业、105家企业的开源软件治理能力，受到供应链安全传导的作用，2023年互联网、软件和信息服务企业均开启了开源治理活动。当然整体而言，本次调研占比较高的是金融、通信、互联网行业，以中大型企业为主。

MISRA C++ 2008 标准解析MISRA C++ 2008是《汽车专用软件的C++语言编程指南》，是针对C++语言的安全编码标准，适用C++ 03标准，是汽车行业公认的C++语言编码规范，目的是在研发生命周期早期发现软件中的缺陷，预防成本投入会大幅度降低投产后的售后维护成本。

信息安全-应用安全-蚂蚁集团软件供应链安全实践8月10日，由悬镜安全主办、以“开源的力量”为主题的DSS 2023数字供应链安全大会在北京·国家会议中心隆重召开。蚂蚁集团网络安全副总经理程岩出席并发表了《蚂蚁集团软件供应链安全实践》主题演讲。