2023年11月1日-3日，2023第三届工控中国大会在苏州国际会议中心举办，本届大会由中国电子信息产业发展研究院、中国工业经济联合会、国家智能制造专家委员会、国家产业基础专家委员会、江苏省工业和信息化厅、江苏省国有资产监督管理委员会、苏州市人民政府共同主办，棱镜七彩受邀出席大会。 本次大会设置了高峰论坛、供需对接会、企业投融资路演、创新成果展，供需对接会、专题论坛等多个不同形式的主题分论坛，来自社会各界领导，专家学者，企业代表齐聚一堂，聚焦工控领域，围绕“生态链接智控未来筑基新型工业化”这一大会主题，分享洞察与远见，共同探讨我国工业控制系统高质量发展路径和布局。 工控安全是实施制造强国和...

近日，在统信UOS主动安全防护计划（UAPP）技术沙龙上，2023年度第二期UAPP合作伙伴授牌发布仪式正式举行。棱镜七彩作为国内专注开源安全与软件供应链安全的创新型厂商，正式获得官方授牌，成为UAPP成员单位。 棱镜七彩获授牌（左三） 统信UOS主动安全防护计划（UAPP）是由统信软件与工业和信息化部网络安全技术与产业发展重点实验室，联合多家头部安全厂商共同发起，旨在打造具备世界顶级安全水平的操作系统，共建信息技术应用创新基础软件平台安全底座。 作为国内较早投身于开源安全、软件供应链安全的厂商，棱镜七彩始终坚持走自主研发路线，全面深耕于开源生态以及信创产业。公司旗下FOSSEye、FOSS...

1、开发人员请注意：在PyPI上的Python包中发现BlazeStealer恶意软件 一组新的恶意Python包已经滑入Python包索引（PyPI）存储库，其最终目的是从受感染的开发人员系统中窃取敏感信息。这些软件包伪装成看似无害的混淆工具，但隐藏着一种名为BlazeStealer的恶意软件，BlazeStealer从外部来源检索额外的恶意脚本，启用Discord机器人，让攻击者完全控制受害者的计算机。 参考链接：https://thehackernews.com/2023/11/beware-developers-blazestealer-malware.html 2、Kinsing...

CCF版开源漏洞信息描述规范COSVSchema1.0（以下简称“COSVSchema1.0”）已于前期正式发布，棱镜七彩作为COSVSchema1.0制定工作的重要成员积极响应规范内容，目前公司产品与漏洞推送服务已经实现COSVSchema1.0兼容。 开源软件在现代软件开发中占据着重要作用，因此开源软件中存在的开源漏洞也是各行业企业面临的重要挑战。而漏洞种类、名称、等级繁多，也无疑增加了企业在进行漏洞扫描、漏洞治理等方面的管理难度。COSVSchema1.0制定旨在帮助用户解决以上问题，棱镜七彩积极拥抱COSVSchema1.0，调整更新系统中的漏洞数据、优化字段，实现COSVSchem...

项目介绍 ApacheInLong（应龙）是一站式、全场景的海量数据集成框架，同时支持数据接入、数据同步和数据订阅，提供自动、安全、可靠和高性能的数据传输能力，方便业务构建基于流式的数据分析、建模和应用。 项目地址 https://inlong.apache.org/ 漏洞概述 受影响版本中，由于只对用户输入的jdbcurl参数中的空格做了过滤，没有对其他空白字符过滤。具备InLongWeb端登陆权限的攻击者可以使用\t绕过对jdbcurl中autoDeserialize、allowUrlInLocalInfile、allowLoadLocalInfileInPath参数的检测，进而在MySQ...

1.OpenSSF推出恶意软件包存储库 为了应对恶意开源软件包日益增长的威胁，开源安全基金会(OpenSSF)推出了一项名为“恶意软件包存储库”的新计划。该存储库可能会成为打击恶意代码的主要参与者，旨在增强开源软件生态系统的安全性和完整性。该存储库已经收集了超过15,000份恶意包报告，从各种来源提取数据，包括OpenSSF包分析项目、Checkmarx安全性以及GitHub跟踪的恶意包导出。 参考链接：https://www.hackread.com/openssf-launches-malicious-packages-repository/ 2.GoldDiggerAndroid木马瞄...

1.什么是MRVA? CodeQL相关的资料目前已经非常多了，但是大部分都集中在介绍ql语法以及基本使用上，更多关注的是对单个项目进行分析。那么如何批量进行漏洞挖掘呢？这里介绍下MRVA。 MRVA是multi-repositoryvariantanalysis的缩写。其实是VScode里codeql插件的一个功能，只不过经常被大家忽视。使用MRVA可以一次性对多个GitHub仓库进行漏洞扫描并且不需要我们编译源码数据库，无疑给我们带来了极大的便利。 当添加大量GitHub仓库时，MRVA通常会比较缓慢，可以通过GithubCodeSearch查询敏感的sink点，缩小仓库范围，然后再将筛选出...

新布局、新风格 新体验、新服务 棱镜七彩新版官网 正式上线啦！ 各版块功能全新升级 为广大用户提供更优质的服务体验！ 重构版块信息，用户需求一键直达 新官网结构大焕新，升级后的官网根据用户需求进行了更合理的设置与规划，导航栏布局清晰，设有首页、产品与服务、解决方案、服务方案、新闻中心、DevSCAOps社区、联系我们等六大核心模块，用户可根据不同需求，快速查找所需信息。 官网截图 悄悄告诉你们，新官网还有“小心机”哦——支持主题色切换功能，打破旧格局，为用户带来全新视觉体验！您可以根据自身习惯通过点击右上角☀/☽小图，手动切换主题色。 内容多方位呈现，满足用户多元化需求 FOSSEye、F...

1、CISA发布增强开源安全性的计划 美国一家领先的安全机构发布了一项期待已久的计划，详细说明了它将如何增强联邦政府和整个生态系统的开源安全性。美国网络安全和基础设施安全局（CISA）开源软件安全路线图在安全开源峰会上发布。据估计，解决开源软件中的网络风险是拜登政府的一个关键优先事项，因为96%的代码库包含开源代码。CISA警告了两个关键风险：Log4j等开源组件漏洞的“级联”影响，以及对开源存储库的供应链攻击，其中包括试图破坏开发人员帐户和/或将后门恶意软件滑入软件包的攻击者。 参考链接：https://www.infosecurity-magazine.com/news/cisa-pla...

近日，为深入学习贯彻党的二十大精神，落实《数字中国建设整体布局规划》中关于“发展高效协同的数字政务”的要求，由国家信息中心主办、复旦大学义乌研究院承办、苏州棱镜七彩信息科技有限公司等单位协办的“数字政府建设暨数字安全技术研讨会”在浙江义乌召开。 国家信息中心信息与网络安全部副主任禄凯，复旦大学党委常委、宣传部部长陈玉刚，义乌市委常委、常务副市长喻新贵出席研讨会并致辞，棱镜七彩作为协办单位应邀参会、参展。 建设数字中国是数字时代推进中国式现代化的重要引擎，是构筑国家竞争新优势的有力支撑。随着数字化转型进程的推进，软件行业的快速发展，作为贯穿整个软件开发流程的软件供应链安全，其稳定性及可靠性对建...

2023年9月25日下午，由软通动力信息技术（集团）股份有限公司主办的“工业互联网+安全可控先进制造业数字服务产业峰会”在辽宁沈阳顺利举办。省市区各级政府、科研院所领导、技术专家、企业高管以及生态合作伙伴代表等齐聚一堂，共同探索数字时代辽宁省制造业数字化转型道路。 棱镜七彩全资子公司辽宁七彩赛通信息科技有限公司（以下简称“辽宁七彩赛通”）作为协办单位，参加了此次盛会，并出席“工业互联网+安全可控”先进制造业数字服务产业平台联合发布、主题演讲环节。 峰会发布环节，由软通动力、工信部第五研究所、棱镜七彩联合打造的工业互联网+安全可控先进制造业数字服务产业平台正式上线，棱镜七彩董事长梁大功参与发布...

2023年9月25日下午，由软通动力信息技术（集团）股份有限公司主办的“工业互联网+安全可控先进制造业数字服务产业峰会”在辽宁沈阳顺利举办。省市区各级政府、科研院所领导、技术专家、企业高管以及生态合作伙伴代表等齐聚一堂，共同探索数字时代辽宁省制造业数字化转型道路。 棱镜七彩全资子公司辽宁七彩赛通信息科技有限公司（以下简称“辽宁七彩赛通”）作为协办单位，参加了此次盛会，并出席“工业互联网+安全可控”先进制造业数字服务产业平台联合发布、主题演讲环节。 峰会发布环节，由软通动力、工信部第五研究所、棱镜七彩联合打造的工业互联网+安全可控先进制造业数字服务产业平台正式上线，棱镜七彩董事长梁大功参与发布...

近日，中电标2023年第27号团体标准公告正式发布，《T/CESA1270.2-2023信息技术开源治理第2部分：企业治理评估模型》、《T/CESA1270.3-2023信息技术开源治理第3部分：社区治理框架》、《T/CESA1270.5-2023信息技术开源治理第5部分：开源贡献者评估模型》、《T/CESA1291-2023信息技术开源元数据通用要求》4项开源领域团体标准正式获批发布，棱镜七彩作为起草单位，深度参与其中。 《信息技术开源治理第2部分：企业治理评估模型》，本文件确立了企业开源治理评估模型，规定了企业在自身开源治理过程中的流程和能力要求。适用于所有使用和贡献开源项目的企业单位...

项目介绍 libcurl是一个跨平台的网络协议库，支持http、https、ftp等多种协议。 项目地址 https://github.com/curl/curl/releases 影响版本 7.69.0-8.3.0 漏洞分析 漏洞成因在于使用SOCKS5代理过程中造成的溢出。当Curl程序使用SOCKS5代理时，设置主机名最大长度为255字节。当程序匹配主机名超过255字节时，会使用本地主机来解析用户输入的地址，并将解析后的地址传递给代理。 Curl工具中使用SOCKS5代理相关命令触发此漏洞，建议关注是否使用相关命令，如使用socks5h选项等。 修复方式 官方已修复该漏洞，建议用户更新...