Seal软件

摘要： 原标题： New npm timing attack could lead to supply chain attacks 原文链接： https://www.bleepingcomputer.com/news/security/new-npm-timing-attack-could-lead-to 阅读全文

摘要： 开源软件无处不在。无论是哪个行业，每个企业都依赖软件来满足其业务需求。企业构建和使用的大多数应用程序在其代码中都包含开源元素。近几年软件行业逐渐迁移到云上，并且随着应用程序复杂性的增加，软件安全风险也随之增加。企业需要在其软件开发生命周期（SLDC）中实施开源依赖管理最佳实践，并选择正确的工具来管理 阅读全文

摘要： 在本篇文章中，我们将了解第三方服务的监管不足，工件完整性验证及日志可见性不足这三个关键 CI/CD 安全风险，并给出缓解相应风险的建议与措施。 第三方服务监管不足 CI/CD 攻击面包括企业资产，例如 SCM 和 CI，以及被授权访问这些资产的第三方服务。与不受监管地使用第三方服务有关的风险依赖于第 阅读全文

摘要： 随着现代软件开发越来越依赖于第三方资源，针对软件供应链的恶意攻击数量也随之激增。据业内权威机构 Gartner 预计，软件物料清单 (SBOM) 的采用率在 2025 年将会达到 60%。 Gartner 明确提醒软件开发企业及组织，如果想要在软件市场上保持良好的竞争力，准备好向客户提供 SBOM 阅读全文

摘要： 据 SAP 称，当今85%的安全攻击针对的是软件应用程序，因此一些列应用程序安全测试工具也应运而生。为了避免这些恶意攻击，企业通常使用应用程序安全测试工具来去缓解和解决安全风险，而不同的工具对应的使用方法和覆盖范围各不相同。本期文章，我们将会讨论 SAST 和 SCA 这两种类型的应用程序安全解决方 阅读全文

摘要： 在上一篇文章，我们着重介绍 PPE 风险，并提供缓解相关风险的安全建议与实践。在本篇文章中，我们将会了解凭据使用环境管理不善与不安全的系统配置，并给出相应的风险缓解建议。 凭据使用管理不善 由于与凭据周围的访问控制、不安全的秘密管理和过于宽松的凭据有关的缺陷，凭据环境管理不善会给攻击者提供获取和使用 阅读全文

摘要： 在上一篇文章，我们了解了依赖链滥用和基于流水线的访问控制不足这两大安全风险，并给出缓解风险的安全建议。本篇文章将着重介绍 PPE 风险，并提供缓解相关风险的安全建议与实践。 Poisoned Pipeline Execution (PPE) 风险指的是攻击者能够访问源代码控制系统，但无法访问构建环境 阅读全文

摘要： 在上一篇文章中，我们主要介绍了 CI/CD 中流程控制机制不足和身份及访问管理不足两大安全风险，并为企业及其开发团队在缓解相应风险时给出了一些建议。今天我们将继续介绍值得企业高度关注的 CI/CD 安全风险。 依赖链滥用 依赖链滥用（Dependency Chain Abuse）风险是指攻击者滥用与 阅读全文

摘要： CI/CD 环境、流程和系统是现代软件组织的核心。他们将代码从开发工程师的工作站传递到生产环境。结合 DevOps 和微服务架构的兴起，CI/CD 系统和流程重塑了工程生态系统： 技术堆栈更加多样化，无论是编码语言，还是流水线中进一步采用的技术和框架（例如 GitOps，K8s）。 采用新的语言和框 阅读全文

摘要： 在过去的八年中，全球超过 33,000 名专业人士参与了Accelerate State of DevOps 调查，使其成为同类研究中规模最大、运行时间最长的一项。Accelerate State of DevOps 报告提供了数据驱动的行业洞察力，这些洞察力检查了推动软件交付以及运营和企业绩效的能 阅读全文