ソースコードのセキュリティを重視し、国内外の最新情報を収集!
コラム サプライチェーンセキュリティ
デジタル時代では、ソフトウェアはどこにでもあります。社会における「バーチャルヒューマン」と同様に、ソフトウェアは社会の正常な運営をサポートする最も基本的な要素の1つとなっており、ソフトウェアのセキュリティは今日の社会において根本的かつ根本的な問題となりつつあります。
ソフトウェア産業の急速な発展に伴い、ソフトウェアサプライチェーンはますます複雑かつ多様化しており、ソフトウェアサプライチェーンの複雑化により一連のセキュリティ問題が発生し、情報システム全体のセキュリティ保護がますます困難になっています。近年、ソフトウェアサプライチェーンに対するセキュリティ攻撃が急速に増加傾向にあり、その被害は深刻化しています。
この目的を達成するために、私たちは「サプライチェーンセキュリティ」コラムを立ち上げました。このコラムでは、サプライ チェーン セキュリティ情報を収集し、サプライ チェーン セキュリティ リスクを分析し、緩和策を提案し、サプライ チェーン セキュリティを護衛します。
注: 過去にリリースされたサプライ チェーン セキュリティに関連する一部のコンテンツについては、記事の最後にある「推奨書籍」セクションを参照してください。
2023年7月24日、Qi Anxin Groupは、国内ソフトウェアサプライチェーンにおけるオープンソースソフトウェアアプリケーションのセキュリティ状況を深く分析した「2023年中国ソフトウェアサプライチェーンセキュリティ分析レポート」(以下「レポート」)を発表しました。過去1年間の代表的な事例を図解し、オープンソースソフトウェアのサプライチェーンリスクの傾向と変化をまとめました。Qi Anxin Code Security Laboratory はデータ分析を通じて、過去 2 年間と比較して、オープンソース ソフトウェア自体のセキュリティ状況が引き続き低下しており、国内のエンタープライズ ソフトウェア開発におけるオープンソース ソフトウェアの使用によってもたらされるセキュリティ リスクの状況が悪化していることを発見しました。さらに悪いことに、リスク管理にはまだ長い道のりがあります。
簡単に読んだり収集したりできるように、レポートの全文が公開されました。完全なレポートをダウンロードする方法については、記事の最後を参照してください。
下のQRコードをスキャンするか、左下の「原文を読む」をクリックするとレポートをすぐにダウンロードできます→
オープンソース ガードのトライアル アドレス: https://oss.qianxin.com
Code Guard トライアル アドレス: https://codesafe.qianxin.com
推奨読書
Qi Anxinは世界的な「ソフトウェアコンポーネント分析のパノラマ」で代表メーカーに選ばれました
Qi Anxinは世界的な「静的アプリケーションセキュリティテストパノラマ」の代表メーカーに選ばれました
Qi Anxinは「2023年中国ソフトウェアサプライチェーンセキュリティ分析レポート」を発表オープンソースソフトウェアサプライチェーンの体系的なセキュリティガバナンスを加速する必要がある
オンライン閲覧版:「2022年中国ソフトウェアサプライチェーンセキュリティ分析報告書」全文
オンライン閲覧版:「2021年中国ソフトウェアサプライチェーンセキュリティ分析報告書」全文
Google Cloud Buildの欠陥により、ハッカーがサプライチェーン攻撃を開始できる可能性がある
OWASP、ソフトウェア サプライ チェーンのセキュリティを向上させるための 5 次元のソフトウェア セキュリティ開発成熟度参照フレームワークをリリース
ソフトウェア サプライ チェーンの負債を返済するための CISO ガイド
新たなサプライチェーン攻撃、放棄された S3 バケットを使用して悪意のあるバイナリを配布
MOVEit Transfer のこの新しい 0day をすぐに修正してください。
MOVEit ファイル転送ソフトウェア 0day がデータを盗むために使用される
MSI UEFI署名キーの漏洩は「壊滅的な」サプライチェーン攻撃につながる可能性がある
OilRig APTグループは中東でさらなるITサプライチェーン攻撃を仕掛ける可能性がある
「トロイの木馬ソース」攻撃はほとんどのプログラミング言語のコンパイラに影響を与え、ソフトウェアサプライチェーン攻撃に大きな役割を果たす
GitHub が「tar」と npm CLI に重大度の高いコード実行の脆弱性を 7 件発見
一般的な NPM パッケージの依存関係におけるリモート コード実行の欠陥
すぐに修正してください!人気のある npm ライブラリのネットマスクは、ソフトウェア サプライ チェーンの重大な脆弱性にさらされており、9 年間存在しています。
悪意のある Npm パッケージが Discord の機密情報とブラウザ ファイルを盗もうとする
Microsoft「フォト」アプリケーションのRaw形式画像エンコーダーの脆弱性(CVE-2021-24091)の技術分析
すぐに修正してください!人気のある npm ライブラリのネットマスクは、ソフトウェア サプライ チェーンの重大な脆弱性にさらされており、9 年間存在しています。
ソーラーウィンズのサプライチェーン事件を受け、米国はソフトウェアセキュリティ評価と標準メカニズムの導入を検討
ソフトウェア サプライ チェーンのセキュリティとそれが重要な理由に関する GitHub
新たなサプライチェーン攻撃の謎を解く: 研究者がマイクロソフト、アップル、その他 35 社のテクノロジー企業へのハッキングに成功
オープンソース ソフトウェアの脆弱性のセキュリティ リスク分析
オープンソース OS FreeBSD における ftpd chroot ローカル権限昇格の脆弱性 (CVE-2020-7468) の技術分析
Gitpaste-12 ワームは 30 以上の脆弱性エクスプロイトを収集し、Linux やオープン ソース コンポーネントなどに影響を与えます。
期間限定無料書籍|新刊『ソフトウェアサプライチェーンセキュリティ ソースコードの欠陥分析』発売
人気のオープンソース CI/CD ソリューションに非常に深刻な脆弱性が発見 GoCD を使用するとサーバーを乗っ取り、任意のコードを実行できる
GitKrakenの脆弱性を利用してソースコードを盗む可能性があり、4つの主要なコードホスティングプラットフォームがSSHキーを無効にする
人気ライブストリーミングプラットフォームTwitchの125GBのデータとソースコードが不適切なサーバー構成により流出
プーマのソースコードが盗まれ、顧客データは影響を受けていないという
タイトルマップ:Pixabayライセンス
「Qi Anxin Code Guard https://codesafe.qianxin.com から転載」と明記してください。
Qi Anxin コードガード (コードセーフ)
国内初のソフトウェア開発セキュリティに特化した製品群。
良いと感じたら、「見る」または「いいね」をクリックしてください〜