墨菲安全参与信息通信软件供应链安全社区成员大会并获自主研发创新成果奖

news/2024/3/29 8:34:18/文章来源:https://blog.csdn.net/murphysec/article/details/129144838

2023年2月16日,首届ICT软件供应链安全治理论坛暨信息通信软件供应链安全社区第二届成员大会在北京成功举办,多位业界顶级专家与工业和信息化部网络安全管理局相关领导出席,为现场观众分享了关于软件供应链可持续性与安全治理行业的前瞻与思考。会议期间,墨菲安全自主研发的【软件供应链安全管理平台】被授予自主研发创新成果奖。会议下午,墨菲安全协助中国移动举办分会场论坛《推进标准体系建设与评估 保证软件供应链安全可信》,墨菲安全联合创始人在现场带来了精彩技术分享,赢得了现场专家及企业代表的好评。

会议颁奖

大会现场举行了颁奖仪式,墨菲安全【软件供应链安全管理平台】荣获自主研发创新成果奖。

技术分享

当日下午分会场,墨菲安全协助中国移动举办分会场论坛《推进标准体系建设与评估 保证软件供应链安全可信》,墨菲安全联合创始人兼实验室负责人欧阳强斌带来分享《软件供应链漏洞及投毒情报在合规场景中的应用》。分享基于 《信息安全技术软件供应链安全要求》国家标准(已于2022年发布征求意见稿),深度剖析了漏洞利用与软件后门植入风险,以及如何通过情报提高风险应对能力,帮助企业满足合规要求。

《信息安全技术软件供应链安全要求》可能成为未来软件供应链安全合规的基本要求,其中提到了10类风险,漏洞利用和软件后门植入是重点关注的风险。从软件供应链的角度来看,依赖的开源组件、部署的开源应用以及使用的商业软件是三类典型的漏洞利用风险引入场景。在标准中针对软件后门植入的风险又细分为供方预留的后门以及攻击者恶意植入的场景,从历史案例来看,软件产品后门以及在通信行业中大量涉及到的路由器、防火墙等网络设备存在较大的后门隐患;在攻击者恶意植入后门的场景中,还存在着2022年NPM中存在着faker.js和node-ipc这样典型的热门组件开发者化身攻击者在代码中加入恶意逻辑的事件。

在《信息安全技术软件供应链安全要求》中对于这些风险要求:

对开源软件、第三方组件中的漏洞进行修复/缓解

  • 需方应要求供方承诺所使用的开源软件和第三方组件不存在已公开漏洞未修复的情况,或者对于存在已公开漏洞未修复的情况,但经过评估后存在补救措施的,提供相应的安全分析报告;

不得在软件产品中设置后门

  • 需方应要求供方不在软件产品中设置后门,或利用软件产品的便利条件非法获取用户数据、控制和操纵用户系统和设备,不会利用软件产品的依赖性谋取不正当利益,不得在未授权情况下对软件产品进行升级或更新换代;

开展检测评估

  • 需方应明确开展软件产品或服务的功能、性能及安全风险检测评估等要求,明确检测评估的范围,包括但不限于软件资产识别、漏洞、后门、渗透测试等,涉及第三方机构的应明确第三方机构的资质能力;

持续监测,及时发现风险

  • 供需双方应根据协议形成常态化风险监测机制,及时发现并处置软件中断供应、停止授权、停止提供产品升级等持续供应风险,漏洞、后门等技术安全风险和信息泄露、数据篡改等数据安全风险;

针对这样的风险,通过以漏洞情报、投毒情报为代表的情报数据,能够帮助企业实现三类种典型控制能力:引入前的准入与卡位,引入中的检测与修复,引入后的风险监测与处置。

在当前漏洞和投毒情报的构建还面临许多挑战,如公开漏洞库的数据不全、质量不高,投毒情报没有公开数据。

墨菲安全在持续建设漏洞和投毒的情报能力,通过自建漏洞库、投毒情报挖掘能力,提供有效的情报能够帮助企业实现风险的事前排查和持续监测,提升安全工程师运营处置效率,实现软件供应链安全合规治理。

会议下午,电信分论坛《打造供应链评估体系 应对安全威胁挑战》上,墨菲安全联合创始人兼产品负责人车志远带来分享《覆盖全文件对象的高精检测及自动修复的软件供应链安全技术》

分享围绕企业在依据 SBOM 进行软件供应链安全风险治理时,依赖的全文件类型对象的覆盖能力、高精度的检测能力、自动修复等关键技术能力:

  • 全文件类型对象的覆盖能力解决复杂的供应链软件类型:源代码SBOM分析的难点和技术;二进制SBOM分析的难点和技术及其应用场景。

  • 高精度的检测能力解决了风险检测出现的漏报、误报:从漏洞知识库的精准,难点和技术上切入,以及代码漏洞真实风险评估的业务场景。

  • 自动修复能力解决了风险的修复成本高:版本升级的兼容性问题、代码补丁的生成问题、二进制文件漏洞修复。

详细介绍了软件供应链安全治理依赖的SBOM关键技术的应用场景以及痛点解决,为企业在风险治理的落地上提供建设思路。

会议全程期间,墨菲安全展区随时为各位参会者准备了相关资料以及电子版各行业完整资料包,为大家提出的疑问进行介绍和讲解。

未来,社区将在指导单位的关心和支持下、在社区会员的共同努力下继续蓬勃发展,墨菲安全作为其中一员将努力为软件供应链安全治理贡献自己的一份力量!

关于墨菲安全

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。

墨非安全为客户提供从供应链资产识别管理、风险检测、安全控制、一键修复的完整控制能力。同时产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。目前墨菲安全已经服务包括蚂蚁、平安、快手等在内的数百家企业客户。

官网地址:https://www.murphysec.com/

开源项目:https://github.com/murphysecurity/murphysec

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.luyixian.cn/news_show_72047.aspx

如若内容造成侵权/违法违规/事实不符,请联系dt猫网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Apache Shiro与Spring Security对比

Apache Shiro VS Spring Security 1.Spring Security 官方文档:https://spring.io/projects/spring-security#overview介绍: Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spr…

CAS底层原理及ABA问题

一、案例CAS是Java中Unsafe类里面的一个方法,它的全称是叫CompareAndSwap比较并交换的一个意思,它的主要功能是能够去保证在多线程的环境下对于共享变量修改的一个原子性。例如,比如说像这样一个场景,有一个成员变量state&#xf…

【分享】订阅卖家云集简云连接器同步销售出库数据至卖家云系统

方案场景 在企业进行数字化转型过程中,数据割裂是企业面临的最大困难,钉钉作为现企业流行的常用办公系统,与第三方ERP系统之间存在着数据割裂的现象,例如,钉钉与卖家云系统,企业员工原来的办公方式是在钉钉…

Vue基础14之TodoList组件自定义事件、全局事件总线、TodoList全局事件总线

Vue基础14TodoList-组件自定义事件先改Header和Footer子组件,List先不考虑App.vueMyHeader.vueMyFooter.vue全局事件总线实现思路正规写法main.jsApp.vueStudent.vueSchool.vue总结:全局事件总线(GlobalEventBus)TodoList案例&…

修复 K8s SSL/TLS 漏洞(CVE-2016-2183)指南

作者:老 Z,中电信数智科技有限公司山东分公司运维架构师,云原生爱好者,目前专注于云原生运维,云原生领域技术栈涉及 Kubernetes、KubeSphere、DevOps、OpenStack、Ansible 等。 前言 测试服务器配置 主机名IPCPU内存系…

5.10 BGP属性-MED

5.4.4配置BGP MED属性控制选路 1. 实验目的 熟悉BGP MED属性控制选路的应用场景掌握BGP MED属性控制选路的配置方法2. 实验拓扑 实验拓扑如图5-10所示: 图5-10:配置BGP MED属性控制选路 3. 实验步骤 (1) 网络连通性 R1…

QMap 判断是否value是否已经存在,结合Sleep函数测试

网上查了资料,基本说的都是通过.value判断是否已经之前的key值,但是尝试.了一下发现有.key的函数,对比着来就感觉这个函数是用来判断是否已经存在value值,于是开始百度也几乎没有找到相关资料,只好自己看官方文档&…

【高速电路01】高速电路入门知识

1.什么是高速电路? 一般情况下,我们在讨论电路的特性时,一个基本的常识,是认为一条导线上各处的电压(或者说信号)在同一时刻是相等的。 以上结论在低速电路时是没问题的,但是,实际…

R语言、MaxEnt模型融合技术的物种分布模拟、参数优化方法、结果分析制图与论文写作

基于R语言、MaxEnt模型融合技术的物种分布模拟、参数优化方法、结果分析制图与论文写作技术应用第一章、理论篇以问题导入的方式,深入掌握原理基础什么是MaxEnt模型?MaxEnt模型的原理是什么?有哪些用途?MaxEnt运行需要哪些输入文件…

【异常】记一次因注解@RestController没加(@RestController不会用),导致无法调用Controller层的方法

一、背景 我想要调用一个Controller,定义的内容如下 RequestMapping("/demo") public class demoController {GetMapping("/doSomething")public JSONObject doSomething() {JSONObject json new JSONObject();json.set("title", …

界面控件DevExpress WPF Pivot Grid——拥有强大多维数据分析能力!

界面控件DevExpress WPF的Pivot Grid组件是一个类似excel的数据透视表,用于多维数据分析和跨选项卡报表生成。它拥有众多的布局自定义选项,允许开发者完全控制其UI且以用户为中心的功能使其易于部署。PS:DevExpress WPF拥有120个控件和库&…

双因素方差分析全流程

上篇文章讲述了“单因素方差分析全流程总结”,单因素方差分析只是考虑了一个自变量(定类)与一个因变量(定量)之间的关系,但是在实际问题研究中可能研究两个或者几个因素与因变量之间的关系,例如…

核心技术: springboot 启动类加载时方法执行的几种实现方式, bean声明周期, 启动执行顺序

目录 1. 业务场景 -> 1.1 初始化操作 -> 1.2 业务操作 -> 1.3优势 2. 实现方式(多种方式,不同思想) -> 2.1 定时调度任务(常用四种方式 task ) --> 2.1.1 Timer(单线程) --> 2.1.2 scheduledExecutorService(多线程并发执行,线程池) --> 2.1…

linux部署zookeeper

linux部署zookeeper 1、单机部署zk ZooKeeper服务器是用Java创建的,它需要在JVM上运行,所以需要使用JDK1.6及以上版本,一般都是jdk1.8。 选择自己安装本地的jdk,而不是centos自带的openjdk。 查看本地安装的jdk: j…

【C++的OpenCV】第二课-CMake创建OpenCV项目

文章目录一、CMake是什么?1.1 基本概念1.2 CMake的优势二、使用Cmake构建一个OpenCV程序2.1 步骤(a)编写一个简单的OpenCV示例代码(b)创建一个Cmake文件(c)生成可执行文件(d&#xf…

DAX 微信 markdown 编辑器

DAX 微信 markdown 编辑器 一、致谢 感谢开源项目: md wechat-format 感谢 WordPress 插件 Mine云点播 作者 mine27 的指导。 二、如何使用 打开如下地址,直接编辑,可以实时看到符合微信公众号排版的效果。 推荐访问:https://j…

线上问题诊断指南

内容概要 诊断工具介绍工具可用情况偶现或已现问题诊断思路 硬件资源观测 top top可以看整个系统cpu、内存的使用情况,以及在各个进程上的情况,如下: $ top top - 13:14:07 up 2 days, 6:38, 0 users, load average: 1.65, 0.59, 0.27…

只因小黑子:SVG

小黑子的SVG复习SFV画布1. 初始SVG2. SVG绘制矩形、圆形和椭圆形2.1 rect 矩形2.2 circle 圆形2.3 ellipse 椭圆4. SVG绘制线条、多边形和多线条4.1 line 线条4.2 polygon 多边形4.3 polyline 多线条5. SVG绘制文本 text6. SVG绘制路径 path7. SVG描边属性8. SVG 模糊和阴影效果…

vue3.2中使用swiper缩略图轮播教程

介绍 在vue3 中使用 swiper 实现缩略图的轮播图效果,具体如下图所示: 使用 切换到项目终端 ,输入命令 npm install swiper --save , 进行安装在 main.js里,引入 swiper.css并使用,具体代码如下;import {createApp } from vue import App from ./App.vue import router…

查询服务器tns文件路径,oracle数据库tns配置方法详解

查询服务器tns文件路径,oracle数据库tns配置方法详解 TNS简要介绍与应用 Oracle中TNS的完整定义:transparence Network Substrate透明网络底层, 监听服务是它重要的一部分,不是全部,不要把TNS当作只是监听器。 TNS是Oracle Net…