为了保证安全性、降低开发、采购及维护的相关成本，复杂动态的现代软件供应链对软件资产透明度提出了更高的要求。使用清晰的软件物料清单（SBOM）收集和共享信息，并在此基础上进行漏洞、许可证和授权管理等，可以揭示整个软件供应链中的弱点、提高软件供应链的透明度并增进供应链上下游间的相互信任、有效管控软件供应链攻击的威胁。 从定义上讲,SBOM是包含软件应用中使用的所有组件、库和其他依赖项的列表。国际通用的SBOM标准格式包括SPDX、CDX和SWID，前两者由于记录着更详细的依赖信息而得到了更广泛的使用。 DSDX（DigitalSupply-chainDataExchange）是由OpenSCA...

概述 2023年11月28号，悬镜供应链安全实验室在Pypi官方仓库（https://pypi.org）监测到两起伪装成http和socks5代理SDK的开源组件投毒事件。python开发者一旦下载安装这些投毒Py包（libproxy、libsocks5），会触发执行Py包中的恶意代码，最终将导致开发者系统被投毒者植入恶意后门。 这些恶意Py包在官方仓库上的本周下载量大约500多次。 目前恶意Py包已从官方仓库下架，但国内部分主流Pypi镜像源依旧可访问下载这些恶意包，实际的受害者数量将会更多，尤其对于国内广大开发者来说仍存在被投毒的风险。 国内Python开发者们可自行排查是否安装或...

在过往发行版的基础上，结合社区用户提供的大量反馈及研发小伙伴的积极探索，项目组对OpenSCA的解析引擎做了全方位的优化，v3.0.0版本正式发布啦 感谢所有用户的支持和信任是很多人的一小步聚在一起带着我们的OpenSCA走出了这一大步。之后，也希望越来越多的朋友可以和我们一起建设开源的开源风险治理方案。 更新内容 ①Java及JS解析逻辑更上一层楼 ②支持通过SBOM清单直接输出漏洞及许可证清单  ③支持生成DSDX格式标准SBOM清单 ④新增命令行交互式UI ⑤参数优化 1、重构解析引擎，解析逻辑大大卷 熟悉mvn依赖的朋友们都知道，尽管mvn相对规整，其中的一些特殊情况还是非常...

开源许可现状 开发人员经常在软件中引入开源的代码片段、函数、方法和操作代码。因此，软件代码中经常会包含各种声明不同许可证的子组件。这些子组件的许可证条款和条件与项目整体主许可证的条款和条件冲突时，就会产生许可证合规风险。 Synopsys2023OpenSourceSecurityandRiskAnalysis（《2023开源安全和风险分析》）报告显示，在2022年审计的所有代码库中，54%的代码库包含与主许可证冲突的开源内容。 CreativeCommonsShareAlike3.0（CCBY-SA3.0）是今年最常见的引发许可证冲突的许可证。该许可证要求署名、非商业性使用及相同方式共享。在...

概述 悬镜安全自研的开源组件投毒检测平台通过对主流开源软件仓库（包括Pypi、NPM、Ruby等）发布的组件包进行持续性监控和自动化代码安全分析，同时结合专家安全经验复审，能够及时发现组件包投毒事件并精确定位恶意代码片段，捕获潜在的供应链投毒攻击行为。 上周我们在Python官方仓库（Pypi）中发现多起新的恶意组件包投毒事件，值得注意的是，urllitelib、urtelib32、graphql32三个python恶意包由同一个攻击者在9月1011号之间上传投放到Pypi仓库，在此期间攻击者连续迭代发布多个版本，这三个恶意包的代码和攻击行为具有极高相似度，其主要攻击行为是窃取受害者PC操作系...

漏洞概述 cURL是一个支持多种网络协议的开源项目，被广泛集成到自动化构建、网络测试、网络数据采集以及其他网络相关的任务中，备受开发者和系统管理员青睐。 cURL在2023年10月11日下午紧急发布最新版本来修复前几日发现的高危安全漏洞，其中编号为CVE-2023-38545的漏洞是cURL客户端在处理SOCKS5协议时存在的堆内存溢出漏洞。 漏洞复现 悬镜供应链安全实验室第一时间对该漏洞进行分析和复现，当使用存在CVE-2023-38545漏洞的curl客户端或libcurl库请求攻击者的恶意socks代理服务器时，攻击者可通过socks5服务器返回非法的协议数据来远程触发该堆内存溢出漏洞...