OpenSCA-腾讯云开发者社区

开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

OpenSCA

专栏成员

27

文章

12875

阅读量

15

订阅数

供应链投毒预警 | 开源供应链投毒202404月报发布（含投毒案例分析）

悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库，结合程序动静态分析方式对潜在风险的开源组件包进行动态跟踪和捕获，发现大量的开源组件恶意包投毒攻击事件。在2024年4月份，悬镜供应链安全情报中心在NPM官方仓库（https://www.npmjs.com/）和Pypi官方仓库（https://pypi.org/）上共捕获772个不同版本的恶意组件包，其中NPM仓库投毒占比接近89%， Pypi仓库投毒占比11%；Pypi官方仓库经历3月份遭受集中式投毒后，对新发布组件包进一步加强审查力度，本月Pypi恶意投毒攻击呈现大幅下降趋势。

2024-05-21

1290

重大升级 | OpenSCA SaaS全面接入供应链安全情报！

结合社区用户反馈及研发小伙伴的积极探索， OpenSCA 项目组再次发力，SaaS版本重大升级啦！

2024-05-13

1010

供应链投毒预警：恶意Py包伪装HTTP组件开展CStealer窃密后门攻击

近日（2024年4月25号），悬镜供应链安全情报中心在Pypi官方仓库（https://pypi.org/）中捕获1起CStealer窃密后门投毒事件，投毒者连续发布6个不同版本的恶意Py包multiplerequests，目标针对windows平台python开发者，该恶意包在安装时会远程加载CStealer后门到受害者系统上执行，该后门会窃取受害者系统敏感信息、主流浏览器隐私数据、数字货币钱包应用数据以及系统屏幕截屏等。此外，后门还会尝试驻留Windows系统启动目录实现开机自启动。

2024-04-30

1100

供应链投毒预警 | 恶意Py包仿冒tensorflow AI框架实施后门投毒攻击

本周（2024年01月15号），悬镜供应链安全实验室在Pypi官方仓库（https://pypi.org/）中捕获1起Py包投毒事件，投毒者利用包名错误拼写(typo-squatting)的攻击方式来仿冒谷歌开源的tensorflow机器/深度学习框架,投毒攻击目标锁定AI开发者。

2024-01-22

2010

技术文档 | 将OpenSCA接入GitHub Action，从软件供应链入口控制风险面

继Jenkins和Gitlab CI之后，GitHub Action的集成也安排上啦~

2024-01-18

1170

技术文档 | 在Jenkins及GitlabCI中集成OpenSCA，轻松实现CI/CD开源风险治理

开源 jenkins cicd gitlab-ci

若您解锁了其他OpenSCA的用法，也欢迎向项目组来稿，将经验分享给社区的小伙伴们~

2023-12-29

2430

技术分享 | 不同格式标准SBOM清单横评：SPDX、CDX和DSDX

开源安全漏洞依赖注入

为了保证安全性、降低开发、采购及维护的相关成本，复杂动态的现代软件供应链对软件资产透明度提出了更高的要求。使用清晰的软件物料清单（SBOM）收集和共享信息，并在此基础上进行漏洞、许可证和授权管理等，可以揭示整个软件供应链中的弱点、提高软件供应链的透明度并增进供应链上下游间的相互信任、有效管控软件供应链攻击的威胁。

2023-12-01

6930

供应链安全情报 | 恶意py包伪装代理SDK进行后门攻击，目标锁定python开发者

2023年11月28号，悬镜供应链安全实验室在Pypi官方仓库（https://pypi.org）监测到两起伪装成http和socks5代理SDK的开源组件投毒事件。python开发者一旦下载安装这些投毒Py包（libproxy、libsocks5），会触发执行Py包中的恶意代码，最终将导致开发者系统被投毒者植入恶意后门。

2023-12-01

3600

版本升级 | v3.0.0卷起来了！多种特殊情况解析轻松拿捏！

开源软件开源安全

在过往发行版的基础上，结合社区用户提供的大量反馈及研发小伙伴的积极探索，项目组对OpenSCA的解析引擎做了全方位的优化，v3.0.0版本正式发布啦~

2023-11-22

1680

供应链安全情报 | cURL最新远程堆溢出漏洞复现与修复建议

供应链网络安全安全漏洞

cURL 是一个支持多种网络协议的开源项目，被广泛集成到自动化构建、网络测试、网络数据采集以及其他网络相关的任务中，备受开发者和系统管理员青睐。

2023-10-12

1.5K0

安全情报 | Pypi再现窃密攻击投毒

安全攻击面管理

悬镜安全自研的开源组件投毒检测平台通过对主流开源软件仓库（包括Pypi、NPM、Ruby等）发布的组件包进行持续性监控和自动化代码安全分析，同时结合专家安全经验复审，能够及时发现组件包投毒事件并精确定位恶意代码片段，捕获潜在的供应链投毒攻击行为。

2023-09-19

3140

常见开源许可证及其风险等级指南

开发人员经常在软件中引入开源的代码片段、函数、方法和操作代码。因此，软件代码中经常会包含各种声明不同许可证的子组件。这些子组件的许可证条款和条件与项目整体主许可证的条款和条件冲突时，就会产生许可证合规风险。

2023-09-18

8980

技术文档 | 免下载、0配置、多任务并发，在Docker Image中使用OpenSCA

容器镜像服务开源

在Docker Image中使用OpenSCA即可轻松实现。一起来look look

2023-09-11

2440

版本升级 | 兼容VSCode及全系IDE，代码风险一键查询

开源软件 vscode插件插件

Jetbrains IDE插件全新升级，很多朋友提了需求的VSCode咱也支持上啦~

2023-09-04

2570

版本升级 | v1.0.13发布，传下去：更好用了

本次更新主要聚焦兼容性的提升及结果报告格式的增加，另外对部分解析逻辑及使用体验进行了优化。在这里特别鸣谢大佬@Hugo-X在社区仓库提交的PR~

2023-08-25

2120

SCA技术进阶系列（三）：浅谈二进制SCA在数字供应链安全体系中的应用

二进制软件成分分析

数字经济时代，随着开源应用软件开发方式的使用度越来越高，开源组件逐渐成为软件开发的核心基础设施，但同时也带来了一些风险和安全隐患。为了解决这些问题，二进制软件成分分析技术成为了一种有效的手段之一。通过对二进制软件进行成分分析，可以检测其中的潜在风险，并提供对用户有价值的信息。

2023-07-21

5990

版本升级 | v1.0.12发布，许可证风险早知道

开源软件一般都有对应的开源许可证（Open Source License）对软件的使用、复制、修改和再发布等进行限制。许可证即授权条款，开源许可证就是保证开源软件这些限制的法律文件，目的在于规范受著作权保护的软件的使用或者分发行为。开源许可证是开源软件生态系统的基础，可以促进软件的协同开发。

2023-07-14

1900

开源许可证保姆级入门手册

开源许可证是个相当庞杂的范畴，仅OSI (Open Source Initiative, 开放源代码促进会)批准的许可证就有80多种；此外，还有数百种在开源生态中流传的其他许可证。

2023-07-07

4460

KCD技术分享：以SBOM为基础的云原生应用安全治理

随着越来越多的企业和组织将他们的应用迁移到云上，云原生技术的应用部署和管理正在变得更加灵活和高效，但也相应地引入了一些新的安全风险。2023年4月15日，由云原生计算基金会（CNCF）发起，全球各国当地的 CNCF 大使、员工以及 CNCF 会员单位联合组织的Kubernetes Community Days（KCD）技术沙龙在中国大连圆满举办。

2023-06-13

7990

SCA 技术进阶系列（二）：代码同源检测技术在供应链安全治理中的应用

开源网络安全供应链

随着 “数字中国” 建设的不断提速，企业在数字化转型的创新实践中不断加大对开源技术的应用，引入开源组件完成应用需求开发已经成为了大多数研发工程师开发软件代码的主要手段。随之而来的一个痛点问题是：绝大多数的应用程序都包含开源组件风险。因而，能够帮助管理和降低开源组件风险的 SCA 技术应运而生。

2023-05-31

5240

点击加载更多

社区活动

【纪录片】中国数据库前世今生

穿越半个世纪，探寻中国数据库50年的发展历程

Python精品学习库

代码在线跑，知识轻松学

博客搬家 | 分享价值百万资源包

自行/邀约他人一键搬运博客，速成社区影响力并领取好礼

技术创作特训营·精选知识专栏

往期视频·千货材料·成员作品最新动态