公开课将以风险治理为最终目标、以SBOM作为治理载体和依据、以生态和包管理器作为切入点，从技术层面进行深度剖析。

近日《信息安全技术 关键信息基础设施安全保护要求》国家标准正式发布，《要求》中更是从管理机制建立、采购管理、网络产品和设备提供者的责任义务与产品及服务的风险控制方面对供应链安全提出了具体要求。

Spring 新版本修复远程命令执行漏洞(CVE-2022-22965)，墨菲安全开源工具可应急排查

先抛出两个问题你们公司从超市买一桶水回去，喝之前会做检测吗？会担心水被人下毒吗？你们公司的程序员从 GitHub 上 clone 一个开源项目或者组件，引入到线上项目代码中运行，你会担心有安全漏洞吗？会担心软件投毒吗？开源技术的应用成为驱动新一轮产业数字化升级的核心动力“迎接数字时代，激活数据要素潜能，推进网络强国建设，加快建设数字经济、数字社会、数字政府，以数字化转型整体驱动生产方式、生活方式和治理方式变革。”这是国家“十四五”规划中第五篇关于加快数字化发展，建设数字中国中明确提出的规划.

CVE-2022-0540漏洞会导致Jira和Jira Service Management允许未经身份验证的远程攻击者通过发送特制的 HTTP 请求来绕过身份验证，官方已经发布安全版本，建议用户升级到安全版本。  ——受影响版本：Jira 版本8.13.18 之前的所有版本、8.14.x、8.15.x、8.16.x、8.17.x、8.18.x、8.19.x、8.20.x 之前的 8.20.6、8.21.xJira Service Management 版本All versions before

前言得益于Java的完备生态，Java一直是非常热门的编程语言。但对于刚刚接触Java的开发者来说，很少会去关注安全相关的问题，没有养成良好的开发习惯，在开发过程中容易带来安全隐患。我们在本文中总结了五条简单有效的小建议。一、及时更新依赖组件版本在Java开发中，开发者经常会用到各类开源组件来实现自己的功能点，但是许多开发者不常关注安全资讯，不了解开源组件的哪个版本存在什么样的漏洞，从而可能会引入安全漏洞。所以在选择开源组件版本的时候，应优先选择最新发布的组件，因为最新版本的组件通常都会

漏洞简述3月1日，VMware发布了针对Spring Cloud Gateway的漏洞通告，当actuator端点开启并对外暴露时，攻击者可以构造恶意请求实现远程任意代码执行。Spring Cloud Gateway是Spring Cloud 生态中的API网关，包含限流、过滤等API治理功能。Actuator是Spring Boot生态中的应用监控组件，提供了通过http访问监控运行状态的能力。当actuator端点开启时，可以通过http请求修改路由，路由中包含的filter参数会经过SPE

简述近日我们监测到 Vue.js 生态中的 vue-cli 包遭遇供应链投毒，而被投毒的 node-ipc 包在npm 上每周下载量超百万，影响非常广泛。被投毒的情况如下：vue-cli是Vue.js 开发的标准工具，该工具被广泛应用于vue的快速开发 其依赖的node-ipc是用于本地和远程进程间通信的一个js模块，也用于支持linux，windows，mac等系统中的socket通信。 node-ipc包的作者近期在node-ipc的10.1.1-10.1.2版本添加了恶意JS，该JS.

昨天看到一个朋友给我发了一篇文章，某友商也发布了一款关于代码安全检测的 IDE 插件，其中UI和代码特征上，与我们的插件有一些的地方。于是我们也简单做了一些分析：UI 对比，icon好像是一样的？......

近期美国和欧盟都发布了新的供应链安全相关要求法案，要求厂商评估供应链数字化产品的安全性，此举旨在保护供应链安全，防止SolarWinds 等安全事件的再次发生。美国和欧盟在各自的法案都提到了软件安全检测，软件物料清单(SBOM)等内容，这意味着通过强制性的网络安全法规要求，企业必须通过披露SBOM、源代码安全检测等手段提升数字化产品安全性，才能继续正常地销售提供数字化产品。美国白宫在9月14日发布了题为《》的备忘录。该备忘录要求供应商产品需提供安全自我证明。

本次分享由墨菲安全联合创始人&研发负责人宇佰超于 9 月 26 日快手安全沙龙中分享，本次主题《软件供应链安全体系、方法与落地》，文末附本次分享视频链接，欢迎大家查阅分享，如有任何欢迎联系我们一起交流讨论～随着国家 IT 及信息化的推广与普及、IT 行业的快速发展，软件供应链体系愈发的成熟。企业软件开发与信息化建设过程中，涉及与使用到的供应链比重越来越高。然而高占比的供应链软件的使用，再提升工程效率的同时，势必带来更多的软件供应链安全风险。

昨天群里大家聊天，讨论用友中勒索病毒的事情。有位同学发出了收到的公司关于使用用友相关的邮件通知。同时他也也发出了一句话：安全是软件开发的生命线。很多人表示这句话厉害厉害厉害。但是你是否也有这样的疑问——这句话只有安全同学才可以说出来吧。反转，该同学的的确确是一名研发同学。所以说，研发同样在重视着开发安全。......

背景SolarWinds Orion 软件更新包在2020年底被黑客植入后门，此次攻击事件波及范围极大，包括美国政府部门、关键基础设施以及多家全球500强企业，影响难以估计。如果用户能确认软件来源是可信的 SolarWinds 官方，这次事件可能可以避免。为了确认软件的来源和构建方式，实现完整性保护，Linux基金会联合Red Hat、Google 和 Purdue 在 2021年3月推出了 Sigstore 代码签名项目，该项目致力于让开发人员签署发布时无感和让用户轻松验证。Sigstore 在发布

因为我们本身也在做开源，所以比较关注这个问题，最近因为工作需要，总结和分析了一下关于开源许可证相关的知识，也分享给大家一起讨论，希望得到大家的指导。前言2021年12月，抖音海外版TikTok上线了一款名为TikTok Live Studio的APP，但不久其下载页面就被删除。TikTok官方对此事做出回应，原因是该APP违反GPL许可证，其使用GPL许可证下的开源软件源码，却没有按照GPL许可证要求开源。随着开源软件的发展，其数量和影响力在不断的上升。开源软件具有成本低、升级快的特点，因此

如何了解项目的风险分数和安全质量？由于近期以来发生了不少开源组件的安全事件，像是PyPI官方仓库遭遇150+恶意包疯狂投毒、PyPI官方仓库遭遇挖矿，GitLab远程代码执行漏洞，Apache多个项目漏洞等等，与此同时我们的插件也迎来了巨大升级，最强版本3.0！插件市场搜索🔍“murphysec”，即刻体验！............

它可以快速识别项目中使用了哪些存在安全缺陷的开源组件，并帮助一键修复问题。目前支持Java、Javascript、Golang、Python语言的检测，会逐步支持PHP、Ruby以及更多的开发语言。