美國政府針對供應商提供如何強化軟體供應鏈安全的實踐指南,包括如何檢查軟體的安全性、保護程式碼、驗證軟體的完整性、開發安全的軟體,以及如何辨識、分析與緩解安全漏洞的指引
2022-11-01
Google與多家組織共同創建GUAC工具,以提高組織軟體供應鏈的可觀察性,使企業更能掌握應用程式中的相依性,更明確掌握特定漏洞的影響範圍
2022-10-24
Google針對軟體供應鏈推出安全解決方案Software Delivery Shield
Google新推出端到端軟體供應鏈解決方案Software Delivery Shield,可針對軟體開發、供應、CI/CD還有執行時階段提供安全防護
2022-10-13
Flutter Cocoon應用程式達SLSA level 2安全性,可抵抗特定軟體供應鏈安全威脅
Flutter Cocoon現在已達軟體供應鏈安全框架SLSA第二級安全性,Google表示,這代表Cocoon應用程式已具備抵抗特定軟體供應鏈安全威脅的能力
2022-10-05
| SP 800-161 | 網路安全供應鏈風險管理 | C-SCRM | 供應鏈安全 | 軟體供應鏈 | 委外供應鏈
NIST發布新版《網路安全供應鏈風險管理指南》,聚焦18個C-SCRM安全控制面向
NIST發布SP 800-161r1標準文件,也就是更新網路安全供應鏈風險管理指南,協助企業了解各級供應鏈的認識,以及辨識、評估與應對其網路安全風險,提及將供應鏈風險納入採購考量因素,且監控風險同樣至關重要
2022-05-15
NPM套件node-ipc被維護者添加額外相依項目Peacenotwar,來表達反對俄羅斯入侵烏克蘭的立場,而類似事件一再發生,凸顯出軟體供應鏈易遭攻擊的問題
2022-03-21
| 微軟 | Nobelium | SolarWinds | 俄羅斯駭客 | 軟體供應鏈 | 資安 | 網路攻擊 | 供應鏈安全
攻擊SolarWinds的駭客再度駭入IT供應鏈,新目標是經銷及雲端服務商
微軟發現去年滲透SolarWinds軟體供應鏈,以在眾多使用單位植入後門的俄國駭客組織Nobelium,今年5月以來開始針對科技產業經銷商及雲端服務業者發動新一波攻擊,意圖透過釣魚信件和密碼潑灑手法,伺機竊取受害組織的使用者憑證,再進一步攻擊其客戶及合作夥伴
2021-10-26
| 漏洞獎勵 | 資安 | 開源碼專案 | Secure Open Source | google | 軟體供應鏈 | 抓漏獎勵
Google贊助Secure Open Source獎勵專案100萬美元
回應白宮提出舉國強化資安的政策,Google承諾投下1億美元以支援第三方開源基金會的運作,目前已贊助OpenSSF基金會以及Secure Open Source獎勵專案,其中Secure Open Source鼓勵開發者尋找並回報重要開源專案的安全漏洞
2021-10-04
| google | Scorecards | 開源專案 | 軟體供應鏈 | 資安
開源專案軟體安全掃描工具Scorecards更新擴大檢驗項目
依循Google提出的了解、預防和修復框架,Scorecards推出第2版,現在會檢驗開源專案是否採用程式碼審查工具,以及CI/CD系統的配置等,評估專案的安全性
2021-07-02