概述 2023年11月28号，悬镜供应链安全实验室在Pypi官方仓库（https://pypi.org）监测到两起伪装成http和socks5代理SDK的开源组件投毒事件。python开发者一旦下载安装这些投毒Py包（libproxy、libsocks5），会触发执行Py包中的恶意代码，最终将导致开发者系统被投毒者植入恶意后门。 这些恶意Py包在官方仓库上的本周下载量大约500多次。 目前恶意Py包已从官方仓库下架，但国内部分主流Pypi镜像源依旧可访问下载这些恶意包，实际的受害者数量将会更多，尤其对于国内广大开发者来说仍存在被投毒的风险。 国内Python开发者们可自行排查是否安装或...

SCA，SoftwareCompositionAnalysis，即软件成分分析，是一种对二进制软件的组成部分进行识别、分析和追踪的技术。SCA并不是一项新奇的技术，而是随着开源理念的盛行和开源组件的广泛使用而越发重要和不断成熟、补充和完善的技术。 除了受开源发展的影响，SCA的发展也是“不重复造轮子”的成本和效率驱动下的产物，是互联网快速发展“短平快”要求下的伴生物。因此SCA发展也几乎同步，其发展历程大概可以划分为萌芽期、发展期、成熟期、完善期等四个阶段。 第一阶段：早期人工阶段 在2000年代初期，随着开源理念和开源软件的流行，企业开始意识到管理和审计开源组件的重要性。&nbsp...