| 資安週報 | 資安一周 | 資安周報 | IT周報 | 金融木馬 | 漏洞修補 | 勒索軟體 | 資料外洩 | 竊密軟體 | 漏洞揭露 | 韌體漏洞 | 軟體供應鏈

【資安週報】2022年11月28日到12月2日

9月已修補的Windows IKE漏洞已發現有駭客組織鎖定攻擊;UEFI韌體安全持續受關注,採用老舊OpenSSL版本問題被公開;在國內,本周兩家上市公司公告發生資安事件

2022-12-05

| 軟體供應鏈 | 資安 | 安全指引 | 美國

美國發表供應商可參考運用的軟體供應鏈安全指南

美國政府針對供應商提供如何強化軟體供應鏈安全的實踐指南,包括如何檢查軟體的安全性、保護程式碼、驗證軟體的完整性、開發安全的軟體,以及如何辨識、分析與緩解安全漏洞的指引

2022-11-01

| google | 軟體供應鏈 | GUAC

Google開源可供企業評估軟體安全性的工具GUAC

Google與多家組織共同創建GUAC工具,以提高組織軟體供應鏈的可觀察性,使企業更能掌握應用程式中的相依性,更明確掌握特定漏洞的影響範圍

2022-10-24

| google | 軟體供應鏈 | CI/CD

Google針對軟體供應鏈推出安全解決方案Software Delivery Shield

Google新推出端到端軟體供應鏈解決方案Software Delivery Shield,可針對軟體開發、供應、CI/CD還有執行時階段提供安全防護

2022-10-13

| google | Flutter | 軟體供應鏈

Flutter Cocoon應用程式達SLSA level 2安全性,可抵抗特定軟體供應鏈安全威脅

Flutter Cocoon現在已達軟體供應鏈安全框架SLSA第二級安全性,Google表示,這代表Cocoon應用程式已具備抵抗特定軟體供應鏈安全威脅的能力

2022-10-05

| SP 800-161 | 網路安全供應鏈風險管理 | C-SCRM | 供應鏈安全 | 軟體供應鏈 | 委外供應鏈

NIST發布新版《網路安全供應鏈風險管理指南》,聚焦18個C-SCRM安全控制面向

NIST發布SP 800-161r1標準文件,也就是更新網路安全供應鏈風險管理指南,協助企業了解各級供應鏈的認識,以及辨識、評估與應對其網路安全風險,提及將供應鏈風險納入採購考量因素,且監控風險同樣至關重要

2022-05-15

| npm | Snyk | 軟體供應鏈 | 烏克蘭戰爭

維護者破壞熱門node-ipc套件抗議俄羅斯入侵烏克蘭

NPM套件node-ipc被維護者添加額外相依項目Peacenotwar,來表達反對俄羅斯入侵烏克蘭的立場,而類似事件一再發生,凸顯出軟體供應鏈易遭攻擊的問題

2022-03-21

| 勒索軟體 | Kaseya | REvil | 軟體供應鏈 | 資安 | 烏克蘭 | 俄羅斯 | 駭客

美國抓到攻擊Kaseya的駭客了,為22歲的烏克蘭人

根據美國司法部的聲明,22歲的烏克蘭駭客Yaroslav Vasinskyi入侵了IT管理軟體Kaseya,並在1千多家Kaseya客戶端環境植入勒索軟體REvil

2021-11-09

| 微軟 | Nobelium | SolarWinds | 俄羅斯駭客 | 軟體供應鏈 | 資安 | 網路攻擊 | 供應鏈安全

攻擊SolarWinds的駭客再度駭入IT供應鏈,新目標是經銷及雲端服務商

微軟發現去年滲透SolarWinds軟體供應鏈,以在眾多使用單位植入後門的俄國駭客組織Nobelium,今年5月以來開始針對科技產業經銷商及雲端服務業者發動新一波攻擊,意圖透過釣魚信件和密碼潑灑手法,伺機竊取受害組織的使用者憑證,再進一步攻擊其客戶及合作夥伴

2021-10-26

| 漏洞獎勵 | 資安 | 開源碼專案 | Secure Open Source | google | 軟體供應鏈 | 抓漏獎勵

Google贊助Secure Open Source獎勵專案100萬美元

回應白宮提出舉國強化資安的政策,Google承諾投下1億美元以支援第三方開源基金會的運作,目前已贊助OpenSSF基金會以及Secure Open Source獎勵專案,其中Secure Open Source鼓勵開發者尋找並回報重要開源專案的安全漏洞

2021-10-04

| 勒索軟體 | REvil | Kaseya | IT管理軟體 | 資安 | 安全漏洞 | 軟體供應鏈 | 網路攻擊

慢了一步?REvil駭客利用Kaseya正要修補的漏洞發動攻擊

荷蘭漏洞揭露協會(DIVD)通報給Kaseya的產品安全漏洞,被勒索軟體組織Revil先一步濫用,滲透Kaseya的託管服務供應商(MSPs)以及下游企業用戶

2021-07-06

| google | Scorecards | 開源專案 | 軟體供應鏈 | 資安

開源專案軟體安全掃描工具Scorecards更新擴大檢驗項目

依循Google提出的了解、預防和修復框架,Scorecards推出第2版,現在會檢驗開源專案是否採用程式碼審查工具,以及CI/CD系統的配置等,評估專案的安全性

2021-07-02