| JFrog | 軟體供應鏈 | Kubernetes

強化軟體供應鏈安全,JFrog推出Runtime即時安全監控解決方案

JFrog Runtime可持續監控Kubernetes叢集,偵測異常應用程式行為、資料流和執行環境,協助用戶即時採取行動,確保動態環境中的應用程式安全

2024-09-12

| OpenSSF | OpenJS | XZ Utils | 軟體供應鏈 | 社交工程 | 開源軟體

OpenSSF與OpenJS基金會示警XZ Utils後門可能非獨立事件

為避免XZ Utils後門事件再次發生,OpenSSF和OpenJS基金會提醒開源維護者提防社交工程攻擊,並採取措施保護專案安全警惕潛在威脅

2024-04-17

| 軟體供應鏈 | Sisense | CISA | 資安

CISA針對資料分析業者Sisense的憑證外洩提出警告

專門提供資料分析服務的Sisense近日發生資安事故,美國CISA發布安全重訊,警示Sisense用戶應重置存取Sisense服務的憑證與秘密

2024-04-12

| Secure by Design Alert | MOVEit | 零時差漏洞 | CVE-2023-34362 | 美國 | 軟體供應鏈 | SQL注入漏洞 | SQL injection | SQLi

CISA督促業者在產品出貨前檢查SQL注入漏洞

有鑑於去年駭客利用MOVEit Transfer網頁應用程式的SQL注入漏洞發動大規模攻擊,美國政府發布Secure by Design Alert,呼籲技術製造商在產品出貨前,應審查程式碼是否含有SQL注入漏洞

2024-03-26

| GUAC | 軟體供應鏈 | OpenSSF

軟體安全評估工具GUAC現成為OpenSSF旗下專案

GUAC是一款由多方合作開發的軟體安全評估工具,可透過聚合軟體相依項目的安全後設資料,分析評估軟體供應鏈安全,目前已成為OpenSSF的孵化專案

2024-03-11

| OpenSSF | GitHub | 惡意套件 | 軟體供應鏈

OpenSSF開源惡意套件儲存庫,以應對開源軟體供應鏈安全威脅

OpenSSF釋出公開惡意套件儲存庫,集結並發布跨平臺惡意套件報告,以增進惡意套件報告資訊的傳遞,並協助阻止以及應對相關安全威脅

2023-10-16

| CISA | 配置錯誤 | 錯誤配置 | 資安 | 軟體供應鏈 | 軟體安全

美國公布十大攸關資安的錯誤配置

美國國安單位公布的十大資訊安全錯誤配置,除了揭露組織常見的系統安全破口,也印證了軟體供應鏈安全的重要性

2023-10-09

| google | 軟體供應鏈 | OSS

Google發布deps.dev API與Assured OSS服務,強化開源程式碼使用安全

Google推出deps.dev API和Assured OSS服務,提供套件安全後設資料和經驗證套件,保護開源軟體供應鏈安全降低漏洞攻擊風險

2023-04-13

| 3CX | Electron | 惡意程式 | 軟體更新 | 軟體供應鏈攻擊 | 供應鏈攻擊 | 軟體供應鏈

3CX的客戶端VoIP程式遭駭客滲透

又出現軟體供應鏈攻擊!VoIP IPBX軟體開發商3CX所打造的桌面程式Electron,被駭客植入藏有木馬的ffmpeg.dll,並藉由官網上的更新感染了Windows及macOS用戶

2023-03-31

| 日產 | 個資 | 資料外洩 | 軟體供應鏈 | 資安

日產汽車委外軟體業者測試資料保存不當,1.8萬北美客戶個資外洩

日產表示可能外洩的客戶個資包括姓名、生日、客戶帳號編號,至於社會安全號碼或信用卡資料則不受影響

2023-01-19

| 資安週報 | 資安一周 | 資安周報 | IT周報 | 漏洞修補 | 勒索軟體 | 資料外洩 | 竊密軟體 | 漏洞揭露 | 韌體漏洞 | 軟體供應鏈 | PLC漏洞 | 資安事件 | 鎖定電信業

【資安週報】2022年12月12日到12月16日

本周有微軟、Citrix、Fortinet、蘋果與Veeam的多個漏洞修補需要特別注意,已有駭客組織在攻擊行動利用這些漏洞;在其他漏洞修補新動向上,包括多家WAF產品業者修補一項漏洞,是關於WAF無法識別JSON格式,導致可能被用於發動SQL注入攻擊,以及數家防毒軟體與EDR業者修補零時差漏洞,可被用於破壞電腦資料

2022-12-19

| 資安週報 | 資安一周 | 資安周報 | IT周報 | 漏洞修補 | 勒索軟體 | 資料外洩 | 竊密軟體 | 漏洞揭露 | 韌體漏洞 | 軟體供應鏈 | PLC漏洞 | 資安事件 | 鎖定電信業

【資安週報】2022年12月5日到12月9日

電信與其外包產業需格外注意!近來國際間出現鎖定SIM劫持攻擊所需權限竊取的攻擊行動;三菱電機的PLC漏洞與American Megatrends的BMC韌體漏洞之修補動向受關注

2022-12-12