更多网络安全干货内容：点此获取 ——————— “我们发现，软件系统间接依赖中存在的漏洞数量，是直接依赖的三倍以上。”Snyk《2020年开源安全状况报告》中讲到。开源软件中的绝大多数安全漏洞都存在于间接依赖关系中，而不是存在于直接加载的组件之中，这将导致软件安全不可控性增强。 开源软件的泛用，使得大多数公司对采购软件的安全性和合规性，处于更加未知或模糊的状态。因此，为了更好地制定第三方软件安全风险管理决策，就需要清晰洞察软件内部组成成分。而SBOM（软件物料清单）就是其中的“灵丹妙药”，其最具价值的方面，就是提升软件内部成分的可见性。 Capterra软件市场服务公司调查发现：已有将近一半（...

医疗器械想要顺利完成出海上市，就意味着需熟知当地国家相关政策要求。如今是软件定义一切的时代，各国对流通产品的软件系统安全性要求逐渐严格，医疗器械也不例外。 去年下半年开始，网安云就不断接收到医疗行业客户的咨询，了解医疗器械美国上市网络安全相关的问题。今天，小编就把之前调研过的“医疗器械FDA注册网络安全要求”详情梳理出来，与大家共享，希望对大家有所帮助。 ​1、FDA认证=医疗器械上市美国流通的“通行证” 美国食品和药品管理局(FDA)负责美国所有有关食品，药品，化妆品及辐射性仪器的管理，它也是美国最早的消费者保护机构。 医疗器械企业产品要在美国上市流通，必须要做FDA备案或者注册，否则美国...

这些漏洞使攻击者能经常访问一些未授权的系统数据或功能。有时，这些漏洞导致系统的完全攻破。业务影响取决于您的应用程序和数据的保护需求。 安全配置错误可能发生在应用程序堆栈的任何级别，包括网络服务、平台、Web服务器应用服务器、数据库、框架、自定义代码和预安装的虚拟机、容器。攻击者利用这些漏洞能经常访问一些未授权的系统数据或功能。有时，这些漏洞导致系统被完全攻破。 通常，攻击者能够通过未修复的漏洞访问默认账户、不再使用的页面、未受保护的文件和目录等来取得对系统的未授权的访问或了解。安全配置错误可以发生在一个应用程序堆栈的任何层面，包括网络服务、平台、Web服务器、应用服务器数据库、框架、自定义代...

​ 更多网络安全干货内容：点此获取 ——————— 近日，国家铁路局发布《铁路关键信息基础设施安全保护管理办法》，《办法》第十四条提到： “运营者应当加强铁路关键信息基础设施供应链安全保护，优先采购安全可信的网络产品和服务。运营者采购网络产品和服务，应当预判该产品和服务投入使用后对国家安全的影响。可能影响国家安全的，应当按照国家有关规定申报网络安全审查。” 强调了铁路关键信息基础设施供应链安全保护的重要性，也为相关单位提出了明确的安全要求。 基于上述《办法》条例，本文将对铁路软件供应链安全现状进行逐一分析，并提出相关治理思路，希望通过本文给相关单位软件供应链安全管理实践落地一些借鉴思路 &nb...

​ 更多网络安全干货内容：点此获取 ——————— 一、什么是反序列化 Java 提供了一种对象序列化的机制，该机制中，一个对象可以被表示为一个字节序列，该字节序列包括该对象的数据、有关对象的类型的信息和存储在对象中数据的类型。 将序列化对象写入文件之后，可以从文件中读取出来，并且对它进行反序列化，也就是说，对象的类型信息、对象的数据，还有对象中的数据类型可以用来在内存中新建对象。 序列化的实现方法： 把一个Java对象写入到硬盘、数据库、文件中，或者传输到网路上面的其它计算机，这时我们就需要自己去通过java把相应的对象转换成字节流。 在Java的OutputStream...

 许多Web应用程序和APl都无法正确保护敏感数据，例如:财务数据、医疗数据和PII数据。攻击者可以通过窃取或修改未加密的数据来实施信用卡诈骗、身份盗窃或其他犯罪行为。未加密的敏感数据容易受到破坏，因此我们需要对敏感数据加密，这些数据包括:传输过程中的数据、存储的数据以及浏览器的交互数据。 攻击者不是直接攻击密码，而是在传输过程中或从客户端(例如:浏览器窃取密钥、发起中间人攻击，或从服务器端窃取明文数据。这通常需要手动攻击。通过使用图形处理单元(GPU)，早前检索的密码数据库可能被暴力破解。 是在最近几年，这是最常见的、最具影响力的攻击。这个领域最常见的漏洞是不对敏感信息进行加密。在...

1、ESXi勒索软件攻击 今年2月，“ESXiArgs”组织针对运行VMwareESXi虚拟机监控程序的客户展开勒索攻击。据联邦调查局（FBI）和CISA数据估计，全球受感染的服务器数量超过了3800台。 网络安全供应商Censys称，该活动主要针对美国、加拿大、法国和德国等国家的组织。研究人员表示：这些攻击利用了一个两年前的漏洞（在CVE-2021-21974中跟踪），实现代码的远程执行，主要影响了旧版本的VMwareESXi中的OpenSLP服务。 VMware发表声明称，“此次ESXiArgs勒索软件攻击，再次凸显了有关保护虚拟应用基础设施的重要性。   2、GoAnywher...

一、注入漏洞是什么？ 注入漏洞，即将不受信任的数据作为命令或查询的一部分发送到解析器时，会产生诸如SQL注入NoSQL注入、OS注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命今或访问数据。 几乎任何数据源都能成为注入载体，包括环境变量、所有类型的用户、参数、外部和内部Web服务。当攻击者可以向解释器发送恶意数据时，注入漏洞产生。 注入漏洞十分普遍，尤其是在遗留代码中。注入漏洞通常能在SQL、LDAP、XPath或是NoSQL查询语句、OS命令、XML解析器、SMTP包头、表达式语句及ORM查询语句中找到。注入漏洞很容易通过代码审查发现。扫描器和模...

  业界流传这样一句话，“软件吞噬世界，开源吞噬软件”。开源软件在促进全球的软件创新方面发挥着越来越重要的作用。但同时，其安全与合规风险问题也在日益显现。 一、开源组件安全与合规风险 1、开源组件安全漏洞增加 根据Synopsys发布的《2023开源安全和风险分析》报告显示：84%的代码库中包含至少一个已知开源漏洞，比2022年版的OSSRA报告增加了近4%。是由于错误编码、安全审查不足或其他原因导致开源项目存在安全漏洞，攻击者可利用这些漏洞执行恶意代码，进行敏感数据窃取或入侵攻击等。 2、 大量开源代码缺乏长期维护 Synopsys审查的1481个含安全风险的代码...

前段时间，一个资讯类APP（以下称“某APP”）的负责人急匆匆找到网安云，直言其负责的APP最近收到很多用户投诉，说他们的信息被泄露了，屡遭电销骚扰。由于电销太过猖狂，导致很多用户都到应用市场给他们发差评，对品牌形象塑造和业务发展影响极大！   同时，他们也收到了本地通信管理局的限期整改通知书，责令他们采取必要的技术措施，对存在安全隐患问题进行整改。如若未在规定时间内完成整改，将会被强制全网下架。     负责人对此感到非常苦恼：他们明明没有主动去泄露用户信息，为什么会有这么大范围的用户信息泄露呢？到底是哪里出现了安全漏洞？被通信管理局通报的问题又该如何整改？...

最近听说好多App都被下架处理了，隐私合规管理特别严格。隔壁王老板公司旗下的一款App就被通报了，说是嵌入的第三方SDK违规收集用户个人信息。 还记得，在2021年的315晚会，上海、北京有几家公司都被报道，其SDK均在未经用户授权，窃取用户个人信息。涉案App有50多款，严重侵害了用户权益，播出之后，社会反响剧烈。 第三方SDK，也就是一些软件开发工具包，确实给App开发者提升了产品研发效率、也降低了研发成本。 但由于他“藏身”于App内，无法独立展示在前台页面，各种收集信息的行为需要借助“宿主APP”传达给用户。假若SDK研发者瞒着“宿主App”私自收集用户信息，那App就是冤大头了呀，泄...

根据Synopsys发布的《2023开源安全和风险分析》报告显示：调研的软件系统中，有76%的软件包含开源软件组件。平均每个代码库由80%的开源代码组成，84%的代码库中包含至少一个已知开源漏洞，比2022年版的OSSRA报告增加了近4%。 另外，报告中也提到，审查的1481个含风险评估的代码库中，91%存在过去两年内未进行任何更新的开源代码。（未进行任何更新，即在过去24个月中未开展任何功能升级、代码改进和安全问题修复活动。）可见，开源代码缺乏更新维护，对开源项目安全性影响有多大。 图源：Synopsys发布的《2023开源安全和风险分析》 据Synopsys报告表示：虽然诸如Kubern...

评估软件物料清单（SBOM）是否实用，主要考量：是否符合标准规范、是否能全面精准识别软件成分信息，以及是否具备“互操作性”。 01/ 互操作性 SBOM是静态文档。所以，如果企业使用SBOM只是为了检查软件，除此之外什么也不做，那么从软件SBOM中获得的价值就非常有限。 SBOM的使用，重点在于发挥它的“互操作性”，让其加入到软件供应链的风险管理中去。 接下来，将为大家详细展开：“可操作性”的SBOM，在软件供应链安全风险管理中的三大应用方向：集中管理、风险定位、安全告警。 1. 集中管理 随着社会分工的细化，以及技术的复杂化，企业为满足高效高质完成产品迭代的需求，将大部分...

铁子们，分享一个开源组件安全检索免费工具，需要的自取～ 输入组件名，一键查询可以组件版本、来源、安全状态、漏洞详情和推荐版本、修复建议这些。 点这个链接注册后直接就能用：组件安全检索工具   一键查询第三方组件版本、漏洞、所属国家、所属语言、源码链接等： 查看漏洞详情：   查看修复建议：   查看版本推荐和使用建议：     点这个链接注册后直接就能用： 组件安全检索工具

  随着互联网的高速发展，开源组件日益成为技术研发的重要工作基础。尤其是如今软件市场对功能性需求的激增，与市场的节奏的加快，企业对程序员开发效率的要求越来越高，开源组件无疑成为了研发市场上的香饽饽。但开源组件极大地提高了开发效率的同时，也难以避免地引入了安全风险。 对于开发者来说，等到在安全漏洞披露后再去采取措施修复漏洞，不仅是平添工作压力，对个人工作评估也很不友好。所以，提升引用开源组件安全性就尤为重要。 那么，如何更加安全地使用开源组件，避免研发软件后续发生安全问题，被追责呢？ 本文将以网安云组件知识库检索功能为例，来跟大家分享：在做组件选型时如何避免引用到不安全组件？...

  开源的.NET系统推荐： OXITE：微软ASP.NETMVC案例演示框架。 PetShop：微软ASP.NET宠物商店。 Orchard：国外一个MVC开源的博客系统。 SSCLI：微软在NETFramework2.0时代的开源代码。 BlogEngine.NET：国外一款免费开源的博客系统。 nopCommerce和Aspxcommerce：国外一套高质量的开源B2C网站系统。 Dotnetnuke.NET：一套非常优秀的基于ASP.NET的开源门户网站程序。 Discuz.NET：国内开源的论坛社区系统。 JumboTCMS和DTCMS：国内两款开源的网站管理系统...

软件的安全有很多方面的内容，主要的安全问题是由软件本身的漏洞造成的，下面介绍常见的软件安全性缺陷和漏洞。 1、缓冲区溢出 缓冲区溢出已成为软件安全的头号公敌，许多实际中的安全问题都与它有关。造成缓冲区溢出问题通常有以下两种原因。 1）设计空间的转换规则的校验问题 即缺乏对可测数据的校验，导致非法数据没有在外部输入层被检查出来并丢弃。非法数据进入接口层和实现层后，由于它超出了接口层和实现层的对应测试空间或设计空间的范围，从而引起溢出。 2）局部测试空间和设计空间不足 当合法数据进入后，由于程序实现层内对应的测试空间或设计空间不足，导致程序处理时出现溢出。 2、加密弱点 这几种加密弱点是不安全的：...

开源许可证是一种针对开源软件使用者的约束，通过它，用户可以免费使用、修改、共享版权软件。也就是说，没有许可证的软件，就等同于保留版权，虽然开源了，用户只能看看源码，不能用，一用就会侵犯版权。 开源许可证实际上就是一种法律许可。主要意义就是保护项目贡献者和使用用户。倘若没有许可证保护，企业和开发人员一般就不会接触项目，开源社区也很难繁荣起来。 开源许可证一般会声明什么内容呢？ 一般开源许可证中会说明使用权限、使用条件和责任限制：比如：是否可商用、分发、修改、专利使用、私下使用和修改、分发软件时是否需要开源、分发软件时，是否必须以相同的许可证发布修改……等等。 我们在使用开源软件的时候，就需要兼顾...

1软件供应链定义 需方和供方基于供应关系，开展并完成软件采购、开发、交付、获取、运维和废止等供应活动而形成的网链结构。 注： 供方1：创造软件产品的组织或个人（开发商、集成商/上游） 供方2：提供软件产品或服务的组织或个人（主要是代理商、服务商等/中游） 需方：从其他组织获取软件产品或服务的购买者和使用者（下游） 2软件供应链模型图 软件供应链是一种由供应关系、供应活动构成的网链结构。软件供应链至少包含一层供应关系，一种实体可以有多种角色。 下面我们可以来看一下软件供应链模型示意图：     来源：国标-软件供应链安全要求 以软件采购为例，当需方直接从软件开发厂商采购软件...

传统电商品牌“绑住”用户的方式，局限于折扣。同质化的“低价策略”让品牌们逐渐丢失了营销竞争力，用户增长疲软。由此，社交电商营销模式应运而生，品牌们可利用社交电商营销系统，解决用户拉新、裂变和沉浸的问题。 但同时，该模式的应用，也为品牌带来了软件安全危机—— 近日，某网络电商公司称：公司营销系统中有用户利用营销平台漏洞，对公司进行“薅羊毛”的可疑交易，致使公司直接损失达100万。 而类似的事情，在去年7月也发生过： 上海一直播平台企业称：有9个用户利用该平台“邀请好友有奖”模块的系统漏洞，在并未发生邀请行为的情况下，成为了其他196位用户的“邀请人”，累积领取奖励金达800余次，导致该直播平台直...