OpenSCA

摘要： 2024年4月，悬镜供应链安全情报中心在NPM官方仓库和Pypi官方仓库上共捕获772个不同版本的恶意组件包 阅读全文

摘要： 为了更好地满足用户的需求，提升OpenSCA的实用性和易用性并促进社区的发展，我们决定发起一项用户调研活动，诚挚邀请您的参与。 阅读全文

摘要： 结合社区用户反馈及研发小伙伴的积极探索， OpenSCA 项目组再次发力，SaaS版本重大升级啦！ 用户的需求是OpenSCA前进的动力，欢迎更多感兴趣的朋友们积极试用和反馈~ 更 新 内 容 1全面接入云脉XSBOM供应链安全情报 2强大的资产全局管理页面 更 新 说 明 1.云脉XSBOM供应链 阅读全文

摘要： 概述 近日（2024年4月25号），悬镜供应链安全情报中心在Pypi官方仓库（https://pypi.org/）中捕获1起CStealer窃密后门投毒事件，投毒者连续发布6个不同版本的恶意Py包multiplerequests，目标针对windows平台python开发者，该恶意包在安装时会远程加 阅读全文

摘要： random被称为“最低调的悬镜头号黑客”。网络攻防对抗从来都是不确定的，“看得清，跟得上，防得住”是做供应链安全情报的重任所在。 阅读全文

摘要： 按照下述教程快速批量扫描您的仓库，一旦新的攻击或 0Day 出现，通过资产清单即可快速定位漏洞及影响范围、有效缩短响应时间。 安装 opensca-cli 方法一：一键安装 -Windows（需要 PowerShell） iex "&{$(irm https://raw.githubusercont 阅读全文

摘要： 概述 ​ 悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库，结合程序动静态分析方法对潜在风险的开源组件包进行分析和监测，捕获大量开源组件恶意包投毒攻击事件。2024 年 1 月份，悬镜供应链安全情报中心在 Npm 官方仓库（https://www.npmjs.com/）和 Pypi 官方仓库（ 阅读全文

摘要： 概述 ​ 本周（2024年02月19号），悬镜供应链安全情报中心在NPM官方仓库（https://npmjs.com）中发现多起NPM组件包投毒事件。攻击者利用包名错误拼写方式 (typo-squatting)在NPM仓库中连续发布9个不同版本的恶意包，试图通过仿冒合法组件（ts-patch-mon 阅读全文

摘要： 概述 本周（2024年01月15号），悬镜供应链安全实验室在Pypi官方仓库（https://pypi.org/）中捕获1起Py包投毒事件，投毒者利用包名错误拼写(typo-squatting)的攻击方式来仿冒谷歌开源的tensorflow机器/深度学习框架,投毒攻击目标锁定AI开发者。 截至目前， 阅读全文

摘要： 继Jenkins和Gitlab CI之后，GitHub Action的集成也安排上啦~ 若您解锁了其他OpenSCA的用法，也欢迎向项目组来稿，将经验分享给社区的小伙伴们~ 参数说明 参数 是否必须 描述 token ✔ OpenSCA云漏洞库服务token，可在OpenSCA官网获得 proj ✖ 阅读全文