2021年11月16日，美国网络安全和基础设施安全局(CISA)根据行政命令EO 14028的要求发布了《网络安全事件和漏洞响应手册》。手册规定的漏洞响应过程包括识别、评估、修复、报告...

图：悬镜安全CEO子芽（左）与北京东方通科技股份有限公司副总裁朱木林（右）签约悬镜安全作为国内DevSecOps敏捷安全领域的领导者，多年来专注于领域内技术研究探索和相关体系落地实践，其...

近年来，供应链网络安全威胁和事件层出不穷，不论是第三方软件存在后门，还是出口安全设备被绕过，攻击者将更多的目光盯在了这些供应链网络资产上，一旦被攻破，将直接威胁到整个网络的...

  10月31日，第十届KCon安全大会上，字节跳动无恒实验室安全研究员秦时、卢昊良、吴帆同学带来了《你的智能硬件出卖了你的信息—浅谈办公及教育场景硬件供应链安全》的议题，演...

本文作者：Pamela@涂鸦智能安全实验室前言在日常安全工作中，我们可能会经常遇到以下两个比较典型的场景：场景1:如果某天某个第三方组件爆出了安全漏洞，那么如何在最短的时间里确...

一、前言2020年12月13日，网络安全公司FireEye发布分析报告，称全球最著名的网络安全软件供应商SolarWinds遭受供应链攻击并被植入木马后门，影响版本为2019.4 HF 5 - 2020.2.1：使...

OWASP TOP 10列表中反复强调的“使用含有已知漏洞的组件”逐步成为供应链安全的显著问题，外部研究机构显示78% 的漏洞是在项目中的间接依赖中被发现的。读者们不妨想一想被Ap...

过去一年里，发生了一连串开源软件遭受供应链攻击的事件，并且态势愈演愈烈。就在最近，甚至发现2个独立的后门漏洞进入了数十万服务器管理员下载的库中。第一个曝光的后门来自Web...

*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。在2018年5月到12月，伴随着阿里安全主办的软件供应链安全...

前言 时至2018年，移动互联网的发展已走过十年历程，智能设备已深入人们生活的方方面面，其安全问题也时刻牵动着人们的神经。自2014年移动端恶意软件爆发时增长以来，Google、...