在线阅读版:《2023中国软件供应链安全分析报告》全文

news2024/12/24 21:10:33

18590c825143674215b20c78e80918b9.gif 聚焦源代码安全,网罗国内外最新资讯!

9cc997aa55fac7340dba681527d600a1.png

专栏·供应链安全

数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。

为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。

注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。

c6cecd8d85aa12d3415144cd8e035744.png

2023年7月24日,奇安信集团对外发布《2023中国软件供应链安全分析报告》(以下简称《报告》),深入分析了过去一年来国内软件供应链中开源软件应用的安全状况并附以典型案例加以说明,总结了开源软件供应链风险的趋势和变化。奇安信代码安全实验室通过数据分析发现,与前两年相比,开源软件自身的安全状况持续下滑,国内企业软件开发中因使用开源软件而引入安全风险的状况更加糟糕,开源软件供应链安全风险管控依然任重道远。

现将报告全文发布,方便阅读或收藏。完整报告下载方式见文末。

27b66f3772c61f5012278e3b0a058935.png

09cbbd427c4e75c93a6d2bca46295488.png

60b6ce7dc240f2b07c27ec69c7d9d5d9.png

e233bb8e60fc1b517cb661fa0fedfe92.png

ef2ab3160c61096f0b953ea8db358a15.png

43538ba3c03c8c37f4f8f9103a2ba731.png

ff2bd2c206896a1149252b03755c2596.png

68544f063f44e7bad85b8d5ad2c6e144.png

18526b02416da2a8a2dac440cdd75738.png

be6470da74662e308557f2686ee28790.png

e3a17e5a330ee0a346f511d4f83d6baa.png

5df6852e12d408b7684f4eee4cbe89a7.png

6c6402b801bf7f6e4fd83f598401aff1.png

33b82324bb9f3c5a9c40174eebd76ca6.png

ccfd567dd65a87378c1da269bda2b977.png

abaa667f539158de49355c9b9d510936.png

9e1aff3b2146eeb78ca17ce053b7854f.png

a9af3be9c2ba1c02f801b41fe4e6369c.png

56e6be281a983fb19564a0f2cbe6c8db.png

9794f5cc59819e516599922f4f5d52a7.png

ea9423db746f5a2758ca33b093432c06.png

aad182baa9f9fd7b9eb3c844b2a48662.png

3c4eb7da844f46e034680b9568d57a91.png

20a79c333d633ccee6ae3052db080e07.png

b48dabbd9683fd6b626ddf77d20e0ccd.png

b658eee061532f1e02e9ec13ac37ebee.png

b85aac8b2286cedeae5c2b91be2ba79f.png

a6dd30137170fdc860a713fd18e315b7.png

cbc894a4b3df952ba2a565df03b7e560.png

b97227ca3bd5599bc885ef52caa6ba5f.png

3cbda1e050d6f31bbd3bf9fb67bb3148.png

ca1c311b0ce4fe02f981179120292e9d.png

1efc47bde535846401b46b376c404807.png

9cffdf6d505ee30886b79ce716cec16e.png

0492554ec81850b462b10489949b3284.png

1a99a13f3a0c9b5e2c4ca46fdff48826.png

2a0a241b25422ff0323b153b73742549.png

5052f06ca6bd2376959801f2a34cc6b9.png

1b84a0ef09e824111a58d78277273222.png

d8f019689c3b1b00af355d40f03f2bc8.png

eac089d28038069588b290732bb09c67.png

6d3e1118356427fa249e7a51fab757ee.png

57dac2e1b578628e2cbb062cb7ec77e4.png

c39130a10c6f1858e420d220df31c7aa.png

0f13bf970420f4ee4cf3849e92bacb51.png

8f6a631196c3b5e7b45b4531c3a138a0.png

00f93ebbdab80c0c9a0c89b994b1f8a2.png


扫一扫下方二维码或点击左下角“阅读原文”,马上下载报告→

78aa79f71e5e356ea6eade6b0a7c23c9.png


开源卫士试用地址:https://oss.qianxin.com

代码卫士试用地址:https://codesafe.qianxin.com

03ba94184a72b8f567ee5cf5807ff819.jpeg


推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

奇安信入选全球《静态应用安全测试全景图》代表厂商

奇安信发布《2023中国软件供应链安全分析报告》开源软件供应链的系统化安全治理需加速落地

在线阅读版:《2022中国软件供应链安全分析报告》全文

在线阅读版:《2021中国软件供应链安全分析报告》全文

Google Cloud Build 漏洞可使黑客发动供应链攻击

OWASP发布五维软件安全开发成熟度参考框架,提升软件供应链安全

给CISO的软件供应链债务偿还指南

新型供应链攻击利用被弃的 S3 存储桶分发恶意二进制

速修复MOVEit Transfer 中的这个新0day!

MOVEit 文件传输软件0day被用于窃取数据

MSI UEFI 签名密钥遭泄漏 恐引发“灾难性”供应链攻击

OilRig APT 组织或在中东地区发动更多 IT 供应链攻击

“木马源”攻击影响多数编程语言的编译器,将在软件供应链攻击中发挥巨大作用

GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞

流行的 NPM 包依赖关系中存在远程代码执行缺陷

速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年

Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件

微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析

速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年

SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制

找到软件供应链的薄弱链条

GitHub谈软件供应链安全及其重要性

揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等 35 家科技公司

开源软件漏洞安全风险分析

开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析

集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等

限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市

热门开源CI/CD解决方案 GoCD 中曝极严重漏洞,可被用于接管服务器并执行任意代码

GitKraken漏洞可用于盗取源代码,四大代码托管平台撤销SSH密钥

因服务器配置不当,热门直播平台 Twitch 的125GB 数据和源代码被泄露

彪马PUMA源代码被盗,称客户数据不受影响

题图:Pixabay License

转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

bc21b90166a40bbea18a5948b90cb9ea.jpeg

844931e1aa709df554cfc34fcf8ab044.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   38e76fa03966b3779a3e613da4b2155f.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/800820.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

火车头采集器伪原创【php源码】

大家好,小编来为大家解答以下问题,python中按钮的位置怎么摆放,python中按钮怎么设置颜色,现在让我们一起来看看吧! 火车头采集ai伪原创插件截图: 1、用python的pygame,做一个按钮 唔...摁钮?…

【万字长文】SpringBoot整合SpringSecurity+JWT+Redis完整教程(提供Gitee源码)

前言:最近在学习SpringSecurity的过程中,参考了很多网上的教程,同时也参考了一些目前主流的开源框架,于是结合自己的思路写了一个SpringBoot整合SpringSecurityJWTRedis完整的项目,从0到1写完感觉还是收获到不少的&…

MYSQL导入excel数据后只显示500条

问题:明明显示数据全部导入成功,但是点开table后发现只显示了500条 解决步骤:(以datagrip为例) 其实大家已经把数据导入了,只是在工具里,它在设置里面做了限制,只显示500条数据。只…

Kotlin 内联函数语法之let、apply、also、run、with的用法与详解

一、介绍 kotlin的语法千奇百怪,今天我们将介绍项目中频率使用比较高的几个内联函数。 二、什么叫内联函数? 内联函数 的语义很简单:把函数体复制粘贴到函数调用处 。使用起来也毫无困难,用 inline关键字修饰函数即可。 语法&a…

三菱FX5U系列PLC内置定位功能的基本使用方法介绍

三菱FX5U系列PLC内置定位功能的基本使用方法介绍 三菱FX5U系列PLC本体自带的高速脉冲输出可以实现定位功能,具体的使用方法可参考以下内容: 参数设定 如下图所示,新建一个工程,在左侧的项目树中找到参数–模块参数—高速I/O,双击进入后找到输出功能—定位—点击进入详细设…

BHQ 1Mal,BHQ-1 Maleimide,BHQ1马来酰亚胺,黑洞猝灭剂

资料编辑|陕西新研博美生物科技有限公司小编MISSwu​ PART1----产品描述: BHQ-1 Maleimide黑洞猝灭剂-1(BHQ-1)被归类为暗猝灭剂,该淬灭剂能够将一定距离内荧光基团发出的光全部吸收,实现对荧光信号的淬灭,所以可得到更强的特异性…

基于SpringBoot+Vue的学习平台设计与实现(源码+LW+部署文档等)

博主介绍: 大家好,我是一名在Java圈混迹十余年的程序员,精通Java编程语言,同时也熟练掌握微信小程序、Python和Android等技术,能够为大家提供全方位的技术支持和交流。 我擅长在JavaWeb、SSH、SSM、SpringBoot等框架…

神经网络的初始化方法

文章目录 1、随机初始化2、Xavier初始化3、He初始化4、权重预训练初始化5、零初始化 对于神经网络的训练过程中,合适的参数初始化方法有助于更好的处理梯度消失和梯度爆炸问题。通常有以下几种初始化方法: 1、随机初始化 随机初始化(Random…

[JavaWeb]MySQL的安装与介绍

MySQL的安装与介绍 一.数据库相关概念1.1 数据库1.2 常见的关系型数据库管理系统 二.MySQL数据库1.MySQL的安装2.配置环境变量3.新建MySQL配置文件4.初始化MySQL5.注册MySQL的服务6.修改默认账户与密码7.连接MySQL服务8.MySQL的卸载 三.MySQL的数据模型1.关系型数据库 一.数据库…

static关键字和继承

1、static关键字 1.1案例题目 • 编程实现People类的封装,特征有:姓名、年龄、国籍,要求提供打印所有特征的方法。 • 编程实现PeopleTest类,main方法中使用有参方式构造两个对象并打印。 /*编程实现People类的封装*/ public cl…

Python+Texturepacker自动化处理图片

前言 本篇在讲什么 PythonTexturepacker自动化处理图片 本篇需要什么 对Python语法有简单认知 依赖Python2.7环境 依赖Texturepacker工具 本篇的特色 具有全流程的图文教学 重实践,轻理论,快速上手 提供全流程的源码内容 ★提高阅读体验★ &…

ubuntu18.04 安装php7.4-xdebug

文章目录 场景解决 场景 apt install php7.4-xdebug 下载失败, 只好通过编译解决了 解决 https://xdebug.org/wizard 输入php -i的执行结果

mybatisplus映射解读

目录 自动映射 表映射 字段映射 字段失效 视图属性 Mybatis框架之所以能够简化数据库操作,是因为他内部的映射机制,通过自动映射,进行数据的封装,我们只要符合映射规则,就可以快速高效的完成SQL操作的实现。既然…

AI语音合成 VITS Fast Fine-tuning,半小时合成专属模型,部署训练使用讲解

前言 项目名:VITS-fast-fine-tuning (VITS 快速微调) 项目地址:https://github.com/Plachtaa/VITS-fast-fine-tuning 支持语言:中、日、英 官方简介: 这个代码库会指导你如何将自定义角色(甚至…

低温试验中的液氮注入式宽温区超高精度温度控制解决方案

摘要:当前各种测试仪器中的低温温度控制过程中,普遍采用电增压液氮泵进行制冷和辅助电加热形式的控温方式。由于液氮温度和传输压力的不稳定,这种方式的控温精度仅能达到0.5K,很难实现小于0.1K的高精度控温。为此本文基于饱和蒸气…

知识梳理(一)

HTTPS握手过程 https的核心的技术:使用非对称加密传输对称加密的密钥,然后用对称加密通信 TLS http--超文本传输协议,是以前并且沿用至今的网页协议。 缺点:http属于明文传输 HTTP的明文传输带来的问题是无法防止中间人截获、…

VScode远程不用再输入密码操作

安装插件remote development 1.先检查自己电脑上有没有生成一对公钥和私钥。(一般会在这个目录) 如果没有的话就自己生成一下。 打开命令行输入以下命令 ssh-keygen -t rsa2.在虚拟机中先看一下有没有公钥和私钥。如果没有的话就自己生成一下。 打开…

pytorch2.x 官方quickstart测试

文章目录 1.本地环境2.[安装pytorch](https://pytorch.org/get-started/locally/) (Windows GPU版本)3. [官方quickstart](https://pytorch.org/tutorials/beginner/basics/quickstart_tutorial.html) 1.本地环境 D:\python2023>nvidia-smi Thu Jul 27 23:27:45…

idea项目依赖全部找不到

目录 1,出错现象2,解决3,其他尝试 1,出错现象 很久没打开的Java项目,打开之后大部分依赖都找不到,出现了所有的含有import语句的文件都会报错和一些注解报红报错,但pom文件中改依赖是确实被引入…

VS2015配置opencv4.1(x86和x64)

1.安装VS2015 vs版本和部门统一,安装C模块即可 2.安装opencv4.1 重点还是配置,安装opencv4.1,装就完事了 3.配置opencv4.1 给整麻了,配了一早上 3.1 在电脑属性中找到“高级系统配置” 3.2 环境变量 3.3 写上x86 和 x64的环…