軟體供應鏈

OpenSSF與OpenJS基金會示警XZ Utils後門可能非獨立事件

為避免XZ Utils後門事件再次發生，OpenSSF和OpenJS基金會提醒開源維護者提防社交工程攻擊，並採取措施保護專案安全警惕潛在威脅

2024-04-17

| 軟體供應鏈 | Sisense | CISA | 資安

CISA針對資料分析業者Sisense的憑證外洩提出警告

專門提供資料分析服務的Sisense近日發生資安事故，美國CISA發布安全重訊，警示Sisense用戶應重置存取Sisense服務的憑證與秘密

2024-04-12

CISA督促業者在產品出貨前檢查SQL注入漏洞

有鑑於去年駭客利用MOVEit Transfer網頁應用程式的SQL注入漏洞發動大規模攻擊，美國政府發布Secure by Design Alert，呼籲技術製造商在產品出貨前，應審查程式碼是否含有SQL注入漏洞

2024-03-26

| GUAC | 軟體供應鏈 | OpenSSF

軟體安全評估工具GUAC現成為OpenSSF旗下專案

GUAC是一款由多方合作開發的軟體安全評估工具，可透過聚合軟體相依項目的安全後設資料，分析評估軟體供應鏈安全，目前已成為OpenSSF的孵化專案

2024-03-11

| OpenSSF | GitHub | 惡意套件 | 軟體供應鏈

OpenSSF開源惡意套件儲存庫，以應對開源軟體供應鏈安全威脅

OpenSSF釋出公開惡意套件儲存庫，集結並發布跨平臺惡意套件報告，以增進惡意套件報告資訊的傳遞，並協助阻止以及應對相關安全威脅

2023-10-16

美國公布十大攸關資安的錯誤配置

美國國安單位公布的十大資訊安全錯誤配置，除了揭露組織常見的系統安全破口，也印證了軟體供應鏈安全的重要性

2023-10-09

| google | 軟體供應鏈 | OSS

Google發布deps.dev API與Assured OSS服務，強化開源程式碼使用安全

Google推出deps.dev API和Assured OSS服務，提供套件安全後設資料和經驗證套件，保護開源軟體供應鏈安全降低漏洞攻擊風險

2023-04-13

3CX的客戶端VoIP程式遭駭客滲透

又出現軟體供應鏈攻擊！VoIP IPBX軟體開發商3CX所打造的桌面程式Electron，被駭客植入藏有木馬的ffmpeg.dll，並藉由官網上的更新感染了Windows及macOS用戶

2023-03-31

| 日產 | 個資 | 資料外洩 | 軟體供應鏈 | 資安

日產汽車委外軟體業者測試資料保存不當，1.8萬北美客戶個資外洩

日產表示可能外洩的客戶個資包括姓名、生日、客戶帳號編號，至於社會安全號碼或信用卡資料則不受影響

2023-01-19

【資安週報】2022年12月12日到12月16日

本周有微軟、Citrix、Fortinet、蘋果與Veeam的多個漏洞修補需要特別注意，已有駭客組織在攻擊行動利用這些漏洞；在其他漏洞修補新動向上，包括多家WAF產品業者修補一項漏洞，是關於WAF無法識別JSON格式，導致可能被用於發動SQL注入攻擊，以及數家防毒軟體與EDR業者修補零時差漏洞，可被用於破壞電腦資料

2022-12-19