- 博客(383)
- 收藏
- 关注
RSS订阅原创 重磅发布!《S-SDLC CMM差距分析:2024安全开发能力洞见报告》,文末附全文
近日,S-SDLC官方团队重磅发布了《S-SDLC CMM差距分析:2024安全开发能力洞见》报告,为各行业揭示了当下安全开发领域的趋势,并为企业在安全开发领域的探索与实践提供了宝贵的指引。报告全文近2万字,基于对金融、互联网、制造、医疗、政府等多行业的超百家企业深入调研,全面剖析不同领域企业在安全开发生命周期(S-SDLC)中的安全开发能力表现与差距。安全考虑逐渐融入到软件开发的早期阶段,即“安全左移”,以降低后期修复成本。,快速推动该行业的企业提升安全开发能力,以保护患者隐私和医疗数据的安全。
2025-01-17 11:21:16
246
1
原创 印度出手了!新数字数据规则出炉,严罚重处+网络安全高要求!
这些规则旨在实施2023年《数字个人数据保护法》,同时赋予公民对其数据更大的控制权,为他们提供在充分知情的情况下同意处理其信息的选项,以及要求数字平台删除数据和解决投诉的权利。印度新闻信息局(PIB)周日发表声明称:“数据受托人必须提供清晰易懂的个人信息处理信息,以便获得知情同意。在印度运营的公司还需实施加密、访问控制和数据备份等安全措施,以保障个人数据,并确保其保密性、完整性和可用性。“公民有权要求删除数据、指定数字代表,并通过用户友好的机制管理自己的数据。
2025-01-10 17:06:47
371
原创 2025 年需要防范的 5 大恶意软件威胁
2024 年发生了相当多的备受瞩目的网络攻击,Dell 和 TicketMaster 等大型公司成为数据泄露和其他基础设施泄露的受害者。到 2025 年,这一趋势将继续。因此,要为任何类型的恶意软件攻击做好准备,每个组织都需要提前了解其网络敌人。以下是您现在可以开始准备应对的 5 种常见恶意软件系列。
2025-01-09 11:30:55
482
原创 湖北某汽车专业高校携手开源网安,共建车联网安全育人与科研新高地
开源网安在智能网联汽车领域深耕多年,不仅成立了车联网安全实验室,还成功推出了威胁分析与风险评估平台、智能网联汽车网络安全测试平台,以及车联网网络安全解决方案、认证与培训解决方案、网络安全实验室建设方案,为行业客户提供了全方位的车联网安全服务与支持,并且,公司已与电子科技大学、湖北大学、华中科技大学等高校建立了紧密的合作关系,共同推进车联网安全技术生态合作。未来,开源网安将继续发挥技术优势,深化与高校的合作,共同提升实践育人水平,精准对接市场对智能网联汽车安全人才的迫切需求。
2025-01-08 17:34:25
421
原创 开源网安携手重庆人文科技学院开展软件安全实训,赋能新时代西部大开发
此次实训,双方共同设计了课程方案和教学环节,确保了实训活动的针对性和实效性,共建了校企合作的新模式和新生态。未来,开源网安将继续深化这一校企合作模式,探索更多元化的实训项目与教学方法,通过不断深化产教融合,促进教育链、人才链与产业链、创新链的有机衔接,与高校共同构建软件安全生态的良性循环,为数字时代的安全防线筑牢基石。,通过“线上+线下”与“理论+实操”的方式,全面、深入提升信息安全专业学生的软件安全漏洞分析能力,赋能新时代西部大开发,推动川渝地区高质量发展。
2025-01-03 15:57:17
785
原创 数十款Chrome扩展遭黑客攻击,数百万用户数据面临被盗风险!
12月27日,Cyberhaven披露称,一名威胁行为者入侵了其浏览器扩展,并注入了恶意代码,以与外部位于cyberhavenext[.]pro域名的命令与控制(C&C)服务器通信,下载额外的配置文件,并窃取用户数据。这封钓鱼邮件伪装成来自Google Chrome网上应用店开发者支持的邮件,通过声称其扩展因违反开发者计划政策而面临被立即从扩展商店下架的风险,来制造一种虚假的紧迫感。
2025-01-03 15:33:28
274
原创 美国司法部新规出炉,禁止向敌对国家批量传输数据以保护隐私!
美国司法部(DoJ)发布了实施第14117号行政命令(EO)的最终规则,该规则禁止将公民个人数据批量传输给令人关切的国家,如中国(包括香港和澳门)、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉。司法部国家安全事务助理部长马修·G·奥尔森表示:“这一最终规则是解决我们的对手利用美国人最敏感的个人数据所构成的重大国家安全威胁的重要一步。
2025-01-03 15:30:49
358
原创 微软Dynamics 365和Power Apps Web API紧急修复三大安全漏洞!
其中两个漏洞存在于Power Platform的OData Web API过滤器中,而第三个漏洞则源于FetchXML API。第一个漏洞的根本原因是OData Web API过滤器缺乏访问控制,从而允许访问存储敏感信息(如全名、电话号码、地址、财务数据和密码哈希)的联系人表。有关Dynamics 365和Power Apps Web API中三个现已修复的安全漏洞的详细信息已浮出水面,这些漏洞可能导致数据泄露。
2025-01-03 15:12:49
239
原创 苹果因Siri意外隐私泄露,将向每位用户赔偿20美元!
该和解协议适用于美国境内当前或曾经的Siri功能设备所有者或购买者,他们在2014年9月17日至2024年12月31日期间,与Siri助手的机密语音通信“被苹果获取和/或由于Siri意外激活而被共享给第三方”。根据和解协议,这些用户将获得每台设备20美元的赔偿。苹果同意支付9500万美元以解决一项拟议的集体诉讼,该诉讼指控这家iPhone制造商利用其语音激活的Siri助手侵犯用户隐私。路透社首先报道了这一进展。
2025-01-03 15:08:23
329
原创 网安企业不具备科创属性,如何突围?
在此背景下,后进的网络安全企业很难达成IPO门槛,再加上网安企业80%的客户是政府,受政府、央国企回款的压力,大量网安企业现金流压力极大,再叠加融资难等问题,进一步加剧了网安企业的经营与上市难度。公司经过10余年的发展,积累了大量的知识产品与完善且全面的安全能力,目前已通过赋能全国的城市平台公司,打造、深化城市信息化建设场景。软件安全因其“内生”属性,成为了城市数字化建设的核心基石,它不仅能够保障信息化业务的安全和效率,还能够推动城市治理现代化,提升城市韧性和安全性。
2025-01-03 14:45:00
457
原创 惊!锐捷网络云平台漏洞或致5万设备遭远程攻击风险!
Claroty公司的研究人员Noam Moshe和Tomer Goldschmidt在最近的一份分析中表示:“这些漏洞不仅影响Reyee平台,还影响Reyee OS网络设备。这家对物联网(IoT)供应商进行深入研究的运营技术(OT)安全公司表示,他们不仅发现了10个漏洞,还设计了一种名为“芝麻开门”的攻击方式,该方式可以通过云端黑客入侵近距离的接入点,并未经授权地访问其网络。网络安全研究人员在锐捷网络开发的云管理平台中发现了多个安全漏洞,这些漏洞可能允许攻击者控制网络设备。
2024-12-26 12:04:59
381
原创 紧急!Apache Traffic Control存9.9级SQL注入漏洞,立即打补丁!
项目维护者在一份公告中表示:“Apache Traffic Control = 8.0.0版本中的Traffic Ops存在SQL注入漏洞,具有 ‘admin’、‘federation’、‘operations’、'portal’或’steering’角色的特权用户可以通过发送特制的PUT请求,在数据库中执行任意SQL命令。2018年6月,它被ASF宣布为顶级项目(TLP)。这个SQL注入漏洞,编号为CVE-2024-45387,在CVSS评分系统中被评为9.9分(满分10.0分)。
2024-12-26 12:03:17
274
原创 国内零售连锁TOP10企业引入代码审核平台,助力零售数字化安全转型
某知名连锁便利店,作为国内零售连锁TOP10企业,年营收数百亿,全国门店几万家,企业自成立以来便致力于为亿万消费者提供便捷、优质的购物体验。随着信息技术的飞速发展和新零售概念的兴起,该企业积极拥抱变化,通过引入先进的信息系统和数字技术,不仅优化了供应链管理,还增强了顾客服务的个性化与精准度。
2024-12-26 11:54:21
400
原创 西部大型开发投资国企:代码审计提升系统安全,助力国家级能源化工基地绿色安全转型
某西部大型开发投资国企,作为我国西部地区某国家级能源基地旗下的工业园区运营商,在地区经济发展中扮演着举足轻重的角色。公司致力于打造一个集能源开发、产业聚集、创新驱动、绿色发展于一体的现代化工业园区。在业务范畴上,不仅涵盖了传统能源产业相关的基础设施建设与运营管理,还积极拓展新兴领域,大力推进数字化在园区管理中的深度应用。
2024-12-20 16:03:32
370
原创 再获国家级认可!开源网安入围工信部2024年网络安全技术应用典型案例拟支持项目名单
该项目对于黑龙江移动而言,在数字化转型的关键时刻,不仅为企业的数据与系统安全提供了坚实保障,更通过精准、高效的机制,提前发现并有效防范潜藏于软件供应链中的各类漏洞与风险。为应对日益复杂的软件供应链安全挑战,以及国家对关键信息基础设施保护提出的高标准要求,开源网安联合黑龙江移动共同研究解决软件开发及软件供应链活动中普遍存在的安全问题,双方通过深度合作,打造了基于人工智能的软件供应链安全检测平台,在行业内具有较高的示范推广价值,为提升软件供应链的安全性树立了新的标杆。专注于软件供应链安全项目。
2024-12-20 15:54:10
847
原创 AI奖项又+1!开源网安斩获中国移动创客马拉松大赛大奖
方案有效解决了某医保局在代码安全检测不全面、漏洞修复效率低、抵御外部攻击能力弱等问题,实现了对源代码全方位深层次的安全检测,智能化修补代码漏洞,提升代码质量和可维护性,确保客户系统上线后可安全稳定地运行,有效降低故障和被攻击的风险。未来,开源网安将持续加大在AI领域的投入,不断探索创新,为客户提供更加智能化高效防护的软件安全解决方案,帮助客户构建更加坚固的软件安全防护体系,降低研发体系和软件供应链风险,提升数字业务的稳定性和可靠性。
2024-12-20 15:52:33
419
原创 500强上市车企通过模糊测试降低未知风险,构筑汽车行业领先的品质基石
某500强上市车企是国内规模领先的汽车上市公司,业务主要涵盖整车、零部件、移动出行和服务、金融、国际经营、创新科技等领域,已形成以整车业务为龙头,六大板块紧密协同、相互赋能、融合发展的业务格局。近几年,该车企作为软件定义汽车践行者,长期聚焦研发智能车技术底座,提供全栈或平台解决方案。
2024-12-20 15:48:58
374
原创 聊聊DevSecOps度量实践中的那些误区
DevSecOps将开发、安全和运维紧密结合,以实现软件全生命周期的高效协同和快速交付,保障软件的安全性与可靠性。然而,要想真正实现DevSecOps的目标并持续改进其流程,其关键点就在于度量体系的建设。越来越多的开发团队意识到,只有通过精确的度量,才能清晰地了解每个研发流程的执行情况,发现潜在问题和优化空间。但在建立度量指标时,团队往往对度量的意义理解不足,陷入了认知误区,使得度量体系的价值难以真正体现,本文我们就聊一聊在度量体系建设上的一些问题。
2024-12-20 14:30:55
1378
原创 开源网安AI能力再获权威认可,CodeSec代码审核平台被评自主研发创新成果标杆
开源网安代码审核平台(CodeSec)是融合了AI技术的创新型静态应用安全测试(SAST)解决方案,专注于软件代码的智能化安全审查与质量评估,通过深度学习和大型语言模型(LLM)技术,提取漏洞特征、验证漏洞检测结果,并能自动生成修复代码,在软件开发源头确保安全性,帮助客户有效检测软件供应链中的代码层面的潜在风险。12月6日,2024软件供应链安全创新发展论坛在京举办。利用大型语言模型(LLM)技术自动生成修复建议,提高修复效率,降低门槛,加快漏洞修复速度,提升代码质量,增强软件系统安全性和稳定性。
2024-12-20 14:19:00
395
原创 安徽移动携手开源网安亮相2024中国国际车联网技术大会,共筑车联网安全新壁垒
模糊测试中的黑盒测试方法,无需深入了解系统的内部实现细节,通过外部输入来检测系统的响应。本次大会以“协同向新,智驭未来”为主题,聚焦车联网领域的技术前沿与产业实践,汇聚国内外多位院士专家、权威学者、行业领军企业代表及相关政府部门,全方位展现车联网领域的最新动态与发展成果,推动技术创新与生态构建,共谋产业发展新未来。未来开源网安将持续关注车联网产业发展趋势,根据国内外法规标准,严格把控车联网安全,携手更多汽车制造商、车联网系统开发商、汽车检测机构等合作方,打造智能网联汽车安全标杆,护航车联网产业高质量发展。
2024-12-20 14:16:50
735
原创 万亿级农信社通过软件成分分析工具精准把控风险,强基固本保障金融科技发展
某省农信,作为万亿级农信社的典范,业务规模稳居全省金融机构首位,拥有近百家法人机构、数千个支行网点及数万名员工,构建庞大的服务网络,深耕乡土,服务民生。省农信持续加大科技投入,强化从高管到员工的全员数字化思维,打造扁平化、端到端的敏捷机制,深化科技与业务、管理融合,更好发挥金融科技的催化效应和乘数作用。
2024-12-20 11:49:39
301
原创 央行被黑:超1.2亿元被盗 近半或损失
一个东南亚黑客组织窃取了乌干达央行超1.2亿元资金,据悉其已将资金转移至他国,目前乌干达已追回超过一半的被盗资金,官方称需等待审计工作完成后才能公布细节信息。
2024-12-06 14:25:44
204
原创 勒索攻击致重要能源数字系统瘫痪,政府安抚民众燃油供应稳定
哥斯达黎加国家石油公司因勒索攻击致使支付系统瘫痪,售油等服务被迫转为手动,官方紧急延长售油运营时间,并邀请美专家协助恢复系统。
2024-12-06 14:16:41
533
原创 网安巨头Palo Alto:2025年网络安全趋势预测
美国网络安全巨头派拓网络(Palo Alto Networks)近日在加州圣克拉拉总部举办了“点燃巡回”(Ignite on Tour)系列活动,公司创始人兼首席技术官Nir Zuk发表了对2025年网络安全行业发展趋势的预测洞见。
2024-12-06 14:12:33
658
原创 “Rockstar 2FA”钓鱼即服务利用AiTM攻击瞄准Microsoft 365用户!国际刑警组织破获非洲网络犯罪:逮捕1006人,拆除134089个恶意网络! | 安全周报1129
最新的加入者是Godot Engine,这是一个游戏开发平台,允许用户跨平台设计2D和3D游戏,包括Windows、macOS、Linux、Android、iOS、PlayStation、Xbox、Nintendo Switch以及网络。该公司还表示,其安全防御措施阻止了威胁行为者干扰其服务或获取客户信息。参与此次行动的国家包括阿尔及利亚、安哥拉、贝宁、喀麦隆、科特迪瓦、刚果民主共和国、加蓬、加纳、肯尼亚、毛里求斯、莫桑比克、尼日利亚、卢旺达、塞内加尔、南非、坦桑尼亚、突尼斯、赞比亚和津巴布韦。
2024-11-29 18:37:38
660
1
原创 500强上市证券公司:代码审核赋能数字金融高质量发展,驱动金融强国建设
某500强上市证券公司,成立20余年以来,凭借“创新驱动,科技引领”的理念,在国内证券行业数字化转型中树立了领先地位,成为全牌照综合性金融证券服务提供商。CodeSec通过深度扫描技术,对代码库进行全方位检测,实现100%代码覆盖,其先进算法与引擎,不仅能精准锁定代码漏洞,更能根据自定义编码规则,有效识别代码中的不规范之处。金融数字化项目涉及海量代码开发,尽管公司有详尽的代码编程规范,但由于开发人员经验水平参差不齐,实际代码质量高低不一,不仅增加了代码维护的难度,更影响系统的稳定可靠。
2024-11-29 18:12:27
493
原创 网安巨头Palo Alto全球数千防火墙被攻陷:因开发低级错误造成零日漏洞
国际网络安全巨头Palo Alto Networks日前修复了两个被积极利用的漏洞,这些漏洞影响其防火墙及虚拟化安全设备。攻击者可以利用这些漏洞,在安全设备操作系统PAN-OS上以最高权限执行恶意代码,从而完全控制设备。
2024-11-29 11:20:36
543
原创 史上最高漏洞赏金计划出炉:单个漏洞最多奖励1.1亿元
Uniswap Labs声称这将是“史上最高的漏洞赏金”,目前有记录的单个漏洞最高赏金记录是Web3漏洞赏金平台Immunefi声称支付的1.07亿元。
2024-11-29 11:03:25
515
原创 全球175个国家超14.5万个工业控制系统被发现在线暴露!警告:正在进行的攻击活动中,超2000台Palo Alto Networks设备遭黑客入侵! | 安全周报1122
专家发现7万个被劫持的域名,涉及广泛的“坐以待毙”攻击计划警告:正在进行的攻击活动中,超2000台Palo Alto Networks设备遭黑客入侵
2024-11-22 18:26:09
1332
原创 推动“AI+新能源”深度融合,人工智能应用场景供需对接会举办
开源网安车联网实验室受邀参加由深圳市福田区人才工作局支持,深圳市人工智能行业协会主办的“人工智能应用场景供需对接会智慧能源专场”活动,现场与蚂蚁数科签署意向合作框架协议,双方将在应用开放市场服务商领域开展合作,共同推动人工智能技术场景落地,推动“AI+新能源”深度融合,加快智慧能源市场的发展。
2024-11-20 10:59:27
255
原创 这家公司亮相“中国科技第一展”,护航数字科技安全发展
第二十六届中国国际高新技术成果交易会(以下简称“高交会”)在深圳国际会展中心举行,开源网安作为软件安全领域的创领者,携代码审核平台CodeSec、智能网联汽车网络安全检测平台CSTP亮相本次高交会数字龙华展区,展示新一代信息安全技术,呈现解决“卡脖子”问题、实现“换道超车”的软件安全技术成果。
2024-11-20 10:52:09
250
原创 湖北某高校联合开源网安打造协同育人新范式,推动智能网联汽车行业可持续发展
双方合作后,为该高校学生和教职工提供了实践教学和职业培训环境,提升学生在智能网联汽车网络安全领域的实际操作能力和职业素养,也为智能网联汽车网络安全领域培养出了具备实践能力和创新精神的专业人才,满足行业对人才的需求。如今,智能网联汽车成为汽车产业的战略发展方向,智能网联汽车技术成为软硬件相结合的新技术新专业,迫切需要更多人才从事智能网联汽车整车测试、核心零部件的性能测试和车路协同系统的测试工作,为智能网联汽车技术专业提供了充足的发展空间。同时,设立实训基地和实践教学基地,为学生提供实践机会。
2024-11-20 10:47:54
851
原创 伊朗黑客在针对以色列组织的攻击中部署了WezRat恶意软件!越南黑客组织部署新PXA窃密器,目标直指欧洲和亚洲 | 安全周报1117
思科Talos的研究人员Joey Chen、Alex Karkins和Chetan Raghuprasad表示,该恶意软件“针对受害者的敏感信息,包括各种在线账户、VPN和FTP客户端的凭据、财务信息、浏览器Cookie以及游戏软件中的数据”。“通过利用自定义作业权限,我们能够提升我们的权限,并未经授权地访问该项目中的所有数据服务,”Palo Alto Networks公司Unit 42研究团队的Ofir Balassiano和Ofir Shaty在本周早些时候发表的分析中表示。
2024-11-17 22:52:45
1226
原创 多国警告:零日漏洞攻击暴涨已成为网空新常态
五眼联盟国家的网络安全机构联合发布报告,公布了2023年最常被利用的漏洞清单,其中Top 15漏洞中有12个为年内披露并修复,这与前几年的态势已经完全不同。
2024-11-16 20:27:07
299
原创 人均最高7.2万元!知名律所因泄露用户个人信息赔偿超5700万元
因泄露用户个人信息,美国知名律所奥睿赔偿超5700万元,其中人均最高赔偿现金7.2万元及额外三年的信用监控服务,该律所还承诺部署持续漏洞扫描、EDR、MDR等数据安全整改措施。
2024-11-16 20:23:08
424
原创 以色列支付龙头遭DDoS攻击,各地超市加油站等POS机瘫痪
以色列当地支付网关公司Hyp旗下产品CreditGuard遭到DDoS攻击,导致各地的POS机终端与线上服务断联故障约1小时,超市加油站等店铺的顾客无法使用信用卡支付。
2024-11-13 15:04:33
271
原创 国际刑警组织在全球打击网络犯罪行动中捣毁了22000多台恶意服务器!思科为工业无线系统中的关键URWB漏洞发布补丁 | 安全周报1110
攻击者利用Microsoft的SaaS服务——包括Teams、SharePoint、Quick Assist和OneDrive——通过先前已被攻陷的组织的可信基础设施来分发鱼叉式网络钓鱼攻击并存储恶意软件,”以色列网络安全公司Hunters在一份新报告中表示。该公司没有披露该公司的名称,而是将其命名为“Org C”。“在识别出的约30000个可疑IP地址中,76%已被关停,并扣押了59台服务器,”国际刑警组织表示,“此外,还扣押了包括笔记本电脑、手机和硬盘在内的43台电子设备。
2024-11-10 11:19:36
666
原创 美国知名军工芯片厂商因勒索攻击损失超1.5亿元
黑客公布了一个4GB大小的压缩文件,声称其中包含微芯科技的内部数据。9月初,在恢复大部分运营后,微芯科技确认,威胁行为者确实从其系统中窃取了一些信息,其中包括员工的联系方式和密码哈希值。根据微芯科技2025财年第二季度的财报显示,截至9月30日,因这起网络安全事件,公司已累计产生约2140万美元的费用。此次安全事件于8月首次曝光,当时微芯科技发现,其网络系统中出现了可疑活动,并直接导致公司部分制造设施的生产中断。大约一周后,勒索软件团伙Play宣称对此次攻击负责,表示已窃取了数GB的数据。
2024-11-08 16:54:36
272
原创 1>9,“十大软件供应链安全代表性厂商”发布,这家厂商相关专利数超9家厂商总和9成
同时,开源网安持续关注全球网络安全态势,在各地网信办、工信局、政数局等指导与支持下,在全国10余家城市建立了软件供应链安全检测中心,形成了成熟的 “政策与标准规范合规检测”、“代码检测评估”、“供应链评估体系”、“开源治理平台体系”、“人才认证体系”、“软件资产管理”、“安全态势感知”等7大核心能力,构建了“开源软件合规、软件供应链可信”供应链保障的坚实底座。目前,开源网安软件供应链安全一体化解决方案已全面支持各类业务场景,覆盖政府、央国企、金融、能源、通信、科技、汽车、物联网、医疗等各行业领域。
2024-11-08 16:34:33
236
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人