opensca社区_个人页

2024年04月

• 04.30 15:39:00
  发表了文章 2024-04-30 15:39:00

  供应链投毒预警：恶意Py包伪装HTTP组件开展CStealer窃密后门攻击

  近日（2024年4月25号），悬镜供应链安全情报中心在Pypi官方仓库（https://pypi.org/）中捕获1起CStealer窃密后门投毒事件，投毒者连续发布6个不同版本的恶意Py包multiplerequests，目标针对windows平台python开发者，该恶意包在安装时会远程加载CStealer后门到受害者系统上执行，该后门会窃取受害者系统敏感信息、主流浏览器隐私数据、数字货币钱包应用数据以及系统屏幕截屏等。此外，后门还会尝试驻留Windows系统启动目录实现开机自启动。

  
• 04.16 14:21:04
  发表了文章 2024-04-16 14:21:04

  供应链投毒预警 | 开源供应链投毒202403月报发布啦！（含投毒案例分析）

  开源软件供应链投毒202403月报发布啦！

2024年03月

• 03.01 09:36:47
  发表了文章 2024-03-01 09:36:47

  供应链投毒预警 | 恶意NPM包利用Windows反向shell后门攻击开发者

  本周（2024年02月19号），悬镜供应链安全情报中心在NPM官方仓库（https://npmjs.com）中发现多起NPM组件包投毒事件。攻击者利用包名错误拼写方式 (typo-squatting)在NPM仓库中连续发布9个不同版本的恶意包，试图通过仿冒合法组件（ts-patch-mongoose）来攻击潜在的NodeJS开发者。

2024年02月

• 02.29 17:19:50
  发表了文章 2024-02-29 17:19:50

  技术文档 | 使用 OpenSCA 批量扫描 Gitlab 仓库，盘点资产安心过节

  按照下述教程快速批量扫描您的仓库，一旦新的攻击或0Day出现，通过资产清单即可快速定位漏洞及影响范围、有效缩短响应时间。
• 02.29 15:33:01
  发表了文章 2024-02-29 15:33:01

  供应链投毒预警 | 开源供应链投毒 202401 最新月报来啦！

  悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库，结合程序动静态分析方法对潜在风险的开源组件包进行分析和监测，捕获大量开源组件恶意包投毒攻击事件。2024 年 1 月份，悬镜供应链安全情报中心在 Npm 官方仓库（https://www.npmjs.com/）和 Pypi 官方仓库（https://pypi.org/）上共捕获 675 个不同版本的恶意投毒包，其中 Npm 仓库投毒占比 90.48%， Pypi 仓库投毒占比 9.52%， 从每日捕获的投毒包数据来看，Npm 仓库仍然是开源组件投毒的重灾区。

2024年01月

• 01.22 15:54:30
  发表了文章 2024-01-22 15:54:30

  供应链投毒预警 | 恶意Py包仿冒tensorflow AI框架实施后门投毒攻击

  投毒行为瞄准AI开发者
• 01.18 15:12:06
  发表了文章 2024-01-18 15:12:06

  技术文档 | 将OpenSCA接入GitHub Action，从软件供应链入口控制风险面

  通过GitHub Actions使用OpenSCA

2023年12月

• 12.29 17:14:20
  发表了文章 2023-12-29 17:14:20

  技术文档 | 在Jenkins及GitlabCI中集成OpenSCA，轻松实现CI/CD开源风险治理

  CI/CD扫描，get！
• 12.22 14:56:11
  发表了文章 2023-12-22 14:56:11

  重磅发布|OpenSCA SaaS全新上线

  OpenSCA SaaS全新上线！
• 12.14 15:45:27
  发表了文章 2023-12-14 15:45:27

  OpenSCA受邀出席2023 Open Compliance Summit

  OpenSCA受邀出席2023 Open Compliance Summit
• 12.01 16:28:11
  发表了文章 2023-12-01 16:28:11

  技术分享 | 不同格式标准SBOM清单横评：SPDX、CDX和DSDX

  使用清晰的软件物料清单（SBOM）收集和共享信息，并在此基础上进行漏洞、许可证和授权管理等，可以揭示整个软件供应链中的弱点、提高软件供应链的透明度并增进供应链上下游间的相互信任、有效管控软件供应链攻击的威胁。
• 12.01 15:46:22
  发表了文章 2023-12-01 15:46:22

  供应链安全情报 | 恶意py包伪装代理SDK进行后门攻击，目标锁定python开发者

  2023年11月28号，悬镜供应链安全实验室在Pypi官方仓库（https://pypi.org）监测到两起伪装成http和socks5代理SDK的开源组件投毒事件。python开发者一旦下载安装这些投毒Py包（libproxy、libsocks5），会触发执行Py包中的恶意代码，最终将导致开发者系统被投毒者植入恶意后门。
• 11.22 11:00:50
  发表了文章 2023-11-22 11:00:50

  版本升级 | v3.0.0卷起来了！多种特殊情况解析轻松拿捏！

  OpenSCA解析引擎全方位优化，v3.0.0版本正式发布啦

  

2023年10月

• 10.12 11:54:02
  发表了文章 2023-10-12 11:54:02

  供应链安全情报 | cURL最新远程堆溢出漏洞复现与修复建议

  cURL紧急发布最新版本来修复前几日发现的高危安全漏洞，其中编号为CVE-2023-38545的漏洞是cURL客户端在处理SOCKS5协议时存在的堆内存溢出漏洞。

2023年09月

• 09.19 15:42:53
  发表了文章 2023-09-19 15:42:53

  安全情报 | Pypi再现窃密攻击投毒

  9月10日起，有投毒者持续向官方Pypi仓库中投放urllitelib、urtelib32、graphql32等多个版本的恶意Py包，请及时排查。

  
• 09.18 10:50:44
  发表了文章 2023-09-18 10:50:44

  推荐收藏！年度Top20开源许可证风险等级

  收下这份常见许可证风险等级表，快速判断合规风险

  
• 09.11 13:02:05
  发表了文章 2023-09-11 13:02:05

  技术文档 | 免下载、0配置、多任务并发，在Docker Image中使用OpenSCA

  点击解锁新用法

  
• 09.04 16:07:19
  发表了文章 2023-09-04 16:07:19

  版本升级 | 兼容VSCode及全系IDE，代码风险一键查询

  插件更新啦~可以在vscode里使用OpenSCA了，IDE插件也升级了一波

2023年08月

• 08.25 14:51:13
  发表了文章 2023-08-25 14:51:13

  版本升级 | v1.0.13发布，传下去：更好用了

  本次更新主要聚焦兼容性的提升及结果报告格式的增加，另外对部分解析逻辑及使用体验进行了优化。特别鸣谢@Hugo-X的PR贡献~

  
• 08.17 14:57:07
  发表了文章 2023-08-17 14:57:07

  大会回顾 | 有干货！有人气！有乐趣！

  大会回顾来啦~ 感谢大家的关注和支持。很多朋友关心大会发布的相关材料，这块我们内部整理完毕后会尽快同步出来～

  
• 08.15 17:08:37
  发表了文章 2023-08-15 17:08:37

  接头攻略 | 社区活动花样翻新，喜欢您来～

  OpenSCA社区搞事情啦！社区活动花样多，惊喜好礼送不停！

  

2023年07月

• 07.26 17:34:52
  发表了文章 2023-07-26 17:34:52

  叮~OpenSCA社区拍了拍您并发来一份开源盛会邀请函

  8月10日，2023数字供应链安全大会将在北京隆重举行，我们在国家会议中心等你呦~ （报名参会方式请见文末）

  
• 07.21 15:24:16
  发表了文章 2023-07-21 15:24:16

  SCA技术进阶系列（三）：浅谈二进制SCA在数字供应链安全体系中的应用

  开源代码安全问题不仅存在于源代码，在构建过程中也会引入问题，因此构建阶段的二进制产物有必要进行SCA分析。快点进来了解一下二进制SCA在数字供应链安全体系中的应用吧~

  
• 07.14 17:03:25
  发表了文章 2023-07-14 17:03:25

  版本升级 | v1.0.12发布，许可证风险早知道

  v1.0.12新版本升级啦，优化了许可证检出功能和HTML页面分页，走过路过别错过~

  
• 07.07 17:28:47
  发表了文章 2023-07-07 17:28:47

  开源许可证保姆级入门手册

  还在为开源许可证头秃？快收下这份保姆级入门手册~

  

2023年06月

• 06.13 14:22:45
  发表了文章 2023-06-13 14:22:45

  KCD技术分享：以SBOM为基础的云原生应用安全治理

  悬镜安全COO董毅应在中国大连举办的Kubernetes Community Days（KCD）技术沙龙主办方的邀请，发表了题为“以SBOM为基础的云原生应用安全治理”的演讲。让我们一起来看看他说了什么吧~

2023年05月

• 05.30 15:18:04
  发表了文章 2023-05-30 15:18:04

  SCA 技术进阶系列（二）：代码同源检测技术在供应链安全治理中的应用

  聚焦代码同源检测技术，点击详阅！
• 05.30 14:57:58
  发表了文章 2023-05-30 14:57:58

  版本升级 | v1.0.11 上线，你的需求被翻牌了吗？

  OpenSCA版本升级，新增支持打印结果概览及常见报错信息到终端界面，并目支持输出Cyclonedx及SWID标准格式SBOM清单

2023年04月

• 04.21 18:09:21
  发表了文章 2023-04-21 18:09:21

  RSAC创新沙盒十强出炉，这家SCA公司火了

  开源软件大行其道、软件供应链安全事件频发的背景下，Endor Labs凭借对SCA的独特理解入围RSAC2023年度创新十强，一起来看看他们的解决方案吧~

2023年02月

• 02.02 11:23:49
  发表了文章 2023-02-02 11:23:49

  SCA技术进阶系列（一）：SBOM应用实践初探

  随着软件组成成分的透明性成为软件供应链安全保障的基础，SBOM清单的重要性愈发凸显。

  
• 02.02 11:06:31
  发表了文章 2023-02-02 11:06:31

  技术文档 | OpenSCA技术原理之composer依赖解析

  本文主要介绍基于composer包管理器的组件成分解析原理。

  

2023年01月

• 01.09 22:18:50
  发表了文章 2023-01-09 22:18:50

  技术文档丨 OpenSCA技术原理之npm依赖解析

  本文主要介绍基于npm包管理器的组件成分解析原理。

  
• 01.09 22:17:09
  发表了文章 2023-01-09 22:17:09

  开源分享|如何解锁小程序开发？这份攻略请收好！

  本期我们整理了一些用于小程序开发的开源项目，快来围观~

  

2022年12月

• 12.14 11:06:08
  发表了文章 2022-12-14 11:06:08

  OpenSCA用开源的方式做开源风险治理：Why? What? How?

  OpenSCA是什么？为什么会有OpenSCA？使用OpenSCA能解决什么问题？点击详阅~

  
• 12.14 11:05:31
  发表了文章 2022-12-14 11:05:31

  开源分享|速进！这些开源项目助你玩转世界杯

  为了帮助大家找到更好的世界杯打开方式，OpenSCA项目组搜罗了一些与世界杯相关的开源项目。一起来看看吧~