- 博客(225)
- 收藏
- 关注
RSS订阅
原创 2025带你看清DevSecOps的发展背景、现状及未来趋势和最佳实践
DevSecOps 是一种融合了开发(Dev)、安全(Sec)和运维(Ops)的集成方法论,旨在通过将安全实践融入软件开发和部署的整个生命周期,提高软件系统的安全性、可靠性和效率。这种模式强调安全左移(Shift Left)、持续自动化和人人参与安全,以尽早发现并修复安全问题,从而降低成本,并通过CI/CD将安全检测集成到研发流水线中,实现自动反馈和跟踪。
2025-02-06 17:34:39
1924
原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯| 4th Sep. , 2025
在项目目录下使用 npm list setup-helper-module 查询是否已安装该组件,或使用 npm list -g setup-helper-module 查询是否全局安装该投毒版本组件,如果已安装请立即使用 npm uninstall setup-helper-module 或 npm uninstall -g setup-helper-module 进行卸载。其主要功能是释放组件源码包中的EXE恶意木马程序(setup-helper.exe)到,并尝试使用管理员权限执行恶意木马程序。
2025-09-05 14:32:22
703
原创 五年霸榜|悬镜安全持续引领《2025年中国网络安全市场全景图》DevSecOps开发安全赛道
作为全球数字供应链安全开拓者与引领者,悬镜安全将持续深耕数字供应链安全关键技术研究突破与实践创新,通过“AI智能代码疫苗技术”深度赋能原创专利级“多模态SCA+DevSecOps+AI供应链情报预警”的第四代DevSecOps数字供应链安全管理体系,构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系,助力企业用户数智化转型升级和高质量发展,真正实现数字供应链安全能力质的飞跃,守护全球数字供应链安全。同时也意味着公司的产品技术实力、安全服务能力获得了第三方权威机构的广泛肯定。
2025-09-05 09:08:47
713
原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯| 3rd Sep. , 2025
该问题的核心成因在于未对输入的列别名进行充分的验证,导致恶意 SQL 语句被插入最终的查询中。在项目目录下使用 npm list string-setup-helper 查询是否已安装该组件,或使用 npm list -g string-setup-helper 查询是否全局安装该投毒版本组件,如果已安装请立即使用 npm uninstall string-setup-helper 或 npm uninstall -g string-setup-helper 进行卸载。
2025-09-04 15:22:49
537
原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯| 2nd Sep. , 2025
在项目目录下使用 npm list aws-toolkit-vscode查询是否已安装该组件,或使用 npm list -g aws-toolkit-vscode 查询是否全局安装该投毒版本组件,如果已安装请立即使用 npm uninstall aws-toolkit-vscode或 npm uninstall -g aws-toolkit-vscode进行卸载。在 4.4.0 版本中,经过身份验证的用户上传了特制的 one.a 文件后,可以将任意文件写入 MobSF 进程用户可写入的任何目录。
2025-09-03 14:40:43
675
原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯| 1st Sep. , 2025
通过该漏洞,攻击者能够在受害者浏览器中执行任意脚本代码,进而窃取敏感信息或执行其他操作。漏洞成因是由于缺乏对传入 JDBC 参数的安全过滤,攻击者可以通过构造恶意连接字符串绕过正则表达式的参数校验,进而执行任意文件读取或远程代码执行。组件 aragearage 的postinstall.js文件包含恶意代码,主要功能是收集并外传系统平台信息(包括系统平台信息,系统架构信息,系统主机名,系统网卡IP地址等),窃取的信息发送到投毒者控制的服务器:http://updatelap.org:4242。
2025-09-03 14:39:17
774
原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯|29th-31th Aug. , 2025
此漏洞影响了 Next.js 的图像优化功能,在版本15.0.0 至 15.4.5 之前的版本以及 14.2.31 之前的版本中,攻击者可以通过控制外部图像源,在特定配置下触发文件下载操作,并指定任意内容和文件名。然而,该功能存在验证不当的问题:当主机被加入TrustedOrigins 列表后,无论是 HTTP 还是 HTTPS 协议的来源都会被允许,因为在合成 URL 时,协议部分被忽略,仅检查主机名。官方已发布补丁更新包,请升级至无漏洞版本进行修复。官方已发布补丁更新包,请升级至无漏洞版本进行修复。
2025-09-01 14:17:33
434
原创 权威认可︱悬镜安全连续五年引领《中国网络安全行业全景图》软件供应链安全赛道
作为数字供应链安全开拓者与引领者,悬镜安全技术创新能力与产品应用能力一直以来受到业界的高度关注和广泛认可,多次获评Gartner SCA技术代表厂商、IDC 中国DevSecOps Innovator(技术创新者代表)以及Forrester SCA、SAST技术代表厂商,并连续多年领跑Foreester、IDC、Gartner、FreeBuf、数说安全、安全牛、数世咨询、嘶吼产业研究院等业内权威咨询机构和安全媒体发布的网络安全行业全景图,持续引领供应链安全和开发安全等领域。
2025-08-29 14:05:17
307
原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯|28th Aug. , 2025
在项目目录下使用 npm list parse-logger 查询是否已安装该组件,或使用 npm list -g parse-logger 查询是否全局安装该投毒版本组件,如果已安装请立即使用 npm uninstall parse-logger 或 npm uninstall -g parse-logger 进行卸载。漏洞的成因可能与缺乏对输入数据的充分校验有关,攻击者可通过特制的输入数据诱导系统执行任意命令或代码,从而导致服务器被接管。官方已发布补丁更新包,请升级至无漏洞版本进行修复。
2025-08-29 11:38:03
430
原创 灵脉AI 4.3重磅来袭|让代码安全进入真“智能体”时代!
中国安全智能体仍处于产品早期快速迭代阶段,市面上智能体能力百花齐放且定位不同,作为数字供应链安全领域率先应用智能体驱动开发安全的创新企业,悬镜安全正以原创专利级自主智能体技术深度赋能软件供应链安全,逐一突破传统安全工具长期面临的检测精度差、覆盖范围不全面、检测效率低下等痛点难点问题。通过持续扩展对新兴语言与主流框架的支持,灵脉AI正逐步构建全栈式、多语言、智能化的代码安全检测能力,无论您是在打造面向未来的鸿蒙应用,还是维护关键业务的Web系统,都能获得精准、高效、可落地的安全保障。
2025-08-28 16:52:38
1473
原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯|27th Aug. , 2025
漏洞的成因是由于在 "RunAsNode" 模式下,Cursor 运行的进程未正确隔离权限,导致攻击者可以利用 Cursor 中已授权的 TCC 权限访问受保护的资源。在默认配置中,MacVim 的签名中包含了特权 'com.apple.security.get-task-allow',允许本地攻击者通过恶意应用程序等方式,在未授权的情况下附加调试器、读取或修改进程内存、在应用程序上下文中注入代码。由于行基址使用了溢出的 stride 值,因此第一行立即越界写入相邻的堆内存,且写入的内容可由攻击者控制。
2025-08-28 10:23:45
714
原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯|26th Aug. , 2025
Langflow 是一个用于构建和部署 AI 驱动的代理和工作流的工具,其主要功能是提供一个基于 Docker 部署的应用环境,用于用户管理和工作流管理。结合远程代码执行漏洞(例如通过 **/api/v1/validate/code** 端点),具备少量权限的用户可以通过命令 `/app/.venv/bin/langflow superuser` 在容器内部提权为超级管理员。这种攻击会导致系统分配过量内存,从而使 Adminer 的界面无法响应,最终导致服务器级别的拒绝服务(DoS)。
2025-08-27 11:13:59
503
原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯|25th Aug. , 2025
在项目目录下使用 npm list @google_cloud/common 查询是否已安装该组件,或使用 npm list -g @google_cloud/common 查询是否全局安装该投毒版本组件,如果已安装请立即使用 npm uninstall @google_cloud/common 或 npm uninstall -g @google_cloud/common 进行卸载。漏洞的成因是由于对输入数据的边界检查不充分,导致攻击者可以通过提供特制的输入数据触发溢出,覆盖关键内存区域。
2025-08-26 10:52:49
501
原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯|22th-24th Aug. , 2025
在项目目录下使用 npm list oracle-agent 查询是否已安装该组件,或使用 npm list -g oracle-agent 查询是否全局安装该投毒版本组件,如果已安装请立即使用 npm uninstall oracle-agent 或 npm uninstall -g oracle-agent 进行卸载。开发者可通过命令 pip show anrk 在项目目录下使用查询是否已安装存在恶意投毒的组件版本,如果已安装请立即使用 pip uninstall anrk -y 进行卸载。
2025-08-26 10:49:57
951
原创 蝉联四年|悬镜安全再次入选Gartner《2025中国网络安全技术成熟度曲线》SCA技术代表厂商
报告对中国网络安全技术成熟度曲线进行了深入分析,涵盖多个技术领域,包括软件成分分析(SCA)、物联网(IOT)、安全服务边缘(SSE)、数据安全态势管理(DSPM)等近20个安全技术领域,旨在帮助中国的首席信息官(CIO)和技术领导者通过技术成熟度曲线来确定实用的、高价值的技术和实践,以保持组织的安全性和灵活性。SCA通过识别漏洞、确保适当的许可以及增强软件供应链的信任来支持开源软件的使用,这对于提高软件质量、降低开发风险和维护客户信任至关重要。SCA协助确保软件组件的正确许可和管理,帮助企业保持合规性。
2025-08-22 16:46:53
1179
原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯|21th Aug. , 2025
Apache Tika 是一个用于文本和元数据提取的开源框架,其中 tika-parser-pdf-module 模块负责解析 PDF 文件。tika-parser-pdf-module 是多个 Tika 包中的依赖模块,包括 tika-parsers-standard-modules、tika-parsers-standard-package、tika-app、tika-grpc 和 tika-server-standard。官方已发布补丁更新包,请升级至无漏洞版本进行修复。XML外部实体注入(XXE)
2025-08-22 16:45:59
768
原创 AI供应链情报预警 | 恶意Py包伪装AI框架库开展数据窃密及应用劫持攻击
依托悬镜安全团队强大的数字供应链SBOM管理与监测能力和AI安全大数据云端分析能力,悬镜云脉XSBOM数字供应链安全情报预警服务通过对全球数字供应链投毒情报、漏洞情报、停服断供情报等进行实时动态监测与溯源分析,可为用户智能精准预警“与我有关”的数字供应链安全情报,提供情报预警、情报溯源、可视化关联分析等企业级服务。在发布当日,恶意组件pytensorlite官方下载量接近900次,悬镜安全已于第一时间通报Python官方,并将该投毒组件的技术分析细节向XSBOM供应链安全情报订阅用户进行推送预警。
2025-08-21 14:40:15
1091
原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯|19th Aug. , 2025
攻击者可能通过构造特定的路径遍历请求,访问未经授权的文件或敏感资源。组件 lovable-logger 通过代码克隆高下载量知名日志库pino项目完整源码,并篡改pino模块主入口文件代码加载恶意模块 lib/write.js,恶意模块主要功能是收集外传系统敏感信息(包含系统主机名、用户名、网卡及环境变量),以及从攻击者C2服务器(https://log-server-lovat.vercel.app/api/ipcheck/703)拉取并远程执行任意代码。
2025-08-20 10:48:26
791
原创 SBOM风险预警 | NPM前端框架 javaxscript 遭受投毒窃取浏览器cookie
近日(2025.08.13),悬镜供应链安全情报中心在NPM官方仓库中捕获1起针对JS前端框架组件 javaxscript 的投毒攻击事件,该组件托管在GitHub上的项目源码在1.1.93及后续版本中被植入恶意代码,恶意代码一旦被加载将会盗取用户浏览器cookie敏感数据并回传到投毒者控制的服务器接口。开发者可通过命令 npm list javaxscript 在项目目录下使用查询是否已安装存在恶意投毒的组件版本,如果已安装请立即使用 npm uninstall javaxscript进行卸载。
2025-08-20 10:46:40
376
原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯|18th Aug. , 2025
此漏洞出现在运行 SEV-SNP(安全加密虚拟化 - 安全嵌套页面)类型虚拟机时,当虚拟机内存量较大(例如 1TB 或以上)时,内核函数 kvm_vm_set_mem_attributes() 会尝试设置整个虚拟机内存范围的属性。然而,由于在此过程中缺乏适当的调度点(例如 cond_resched()),导致内核任务长时间占用 CPU,触发了 CPU 的软锁死(soft lockup)。漏洞的根本原因是模板引擎在处理用户输入时未正确中和特殊元素,导致攻击者可以通过构造恶意输入来操控模板渲染过程。
2025-08-19 14:04:17
838
原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯|15th-17th Aug. , 2025
漏洞的核心原因是 pg_dump 和相关工具未对生成的备份文件中的元命令进行充分校验,导致攻击者可以通过精心构造的元命令注入恶意代码。在项目目录下使用 npm list symphony-summary 查询是否已安装该组件,或使用 npm list -g symphony-summary 查询是否全局安装该投毒版本组件,如果已安装请立即使用 npm uninstall symphony-summary 或 npm uninstall -g symphony-summary 进行卸载。
2025-08-19 14:02:54
930
原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯|14th Aug. , 2025
NGINX 开源版和 NGINX Plus 在 ngx_mail_smtp_module 模块中存在一个漏洞,这可能使未经身份验证的攻击者过度读取 NGINX SMTP 身份验证过程中的内存;在项目目录下使用 npm list td360-strapi 查询是否已安装该组件,或使用 npm list -g d360-strapi查询是否全局安装该投毒版本组件,如果已安装请立即使用 npm uninstall d360-strapi或 npm uninstall -g d360-strapi进行卸载。
2025-08-15 22:10:41
709
原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯|13th Aug. , 2025
在 CVE-2025-54472 中,Redis 解析器存在一个漏洞,该漏洞可能由于未正确处理恶意构造的请求而导致解析器进入异常状态,从而引发拒绝服务攻击。组件flask-tdg-cyber的 flask_tdg_cyber/__init__.py 文件包含恶意代码,其主要功能用于窃取系统环境变量、主机名、用户名、系统版本、磁盘信息、网卡IP信息、系统服务、CPU信息、内存状态,窃取的敏感数据发送到攻击者服务器:https://api-tdgbanking.vercel.app/api/coolenv。
2025-08-15 22:08:34
678
原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯|12th Aug. , 2025
漏洞的根本原因是 Cherry Studio 在执行 OAuth 授权服务器元数据发现和动态客户端注册流程时,未对服务器提供的元数据(如 authorization_endpoint)进行有效的输入校验,导致恶意服务器可以通过特定构造的 URL 触发不安全的 open 函数调用。漏洞的根本原因在于应用程序的自定义 URL 处理器未对输入的 URL 数据进行充分的校验和过滤,导致攻击者可以通过特制的恶意 URL 触发任意代码执行。官方已发布补丁更新包,请升级至无漏洞版本进行修复。
2025-08-13 14:12:25
990
原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯|11th Aug. , 2025
在这些设备中,路径 /goform/RP_setBasicAuto 的 um_red 函数允许通过参数 hname 进行操作,导致命令注入漏洞。在项目目录下使用 npm list horizon-ui-ng 查询是否已安装该组件,或使用 npm list -g horizon-ui-ng 查询是否全局安装该投毒版本组件,如果已安装请立即使用 npm uninstall horizon-ui-ng 或 npm uninstall -g horizon-ui-ng 进行卸载。
2025-08-12 10:28:17
576
原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯—2025年8月8日-10日
处理嵌套 tuple 时,如果在脚本求值过程中发生错误,tuple_unref() 函数可能访问已释放的内存,这是由于 tuple 引用生命周期管理不当,导致堆内存 use-after-free,从而引发内存破坏。组件 grok-sdk 在安装时会静默执行包含恶意代码的index.js文件,其主要功能是窃取系统敏感信息(包括主机名,用户名、工作目录、DNS服务器地址等),窃取的数据发送到投毒者控制的服务器:https://b5f8844fb045.ngrok-free.app。
2025-08-11 14:37:24
1062
原创 权威认可︱悬镜再次入选工信部“2024年信息技术应用创新典型解决方案”
作为全球数字供应链安全开拓者与引领者,悬镜安全将持续深耕数字供应链安全关键技术研究突破与实践创新,通过“AI智能代码疫苗技术”深度赋能原创专利级“多模态SCA+DevSecOps+SBOM风险情报预警”的第四代DevSecOps数字供应链安全管理体系,构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系,助力企业用户数智化转型升级和高质量发展,真正实现数字供应链安全能力质的飞跃,守护全球数字供应链安全。同时,还建立了软件采购规范和SBOM要求,确保采购的软件符合安全标准和要求。
2025-08-08 15:30:21
726
原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯—2025年8月7日
微软强烈建议用户仔细阅读相关说明,安装2025年4月(或之后的版本)的热修复程序,并在Exchange Server及其混合环境中实施相应的变更。在项目目录下使用 npm list node-logger-sdk 查询是否已安装该组件,或使用 npm list -g node-logger-sdk 查询是否全局安装该投毒版本组件,如果已安装请立即使用 npm uninstall node-logger-sdk 或 npm uninstall -g node-logger-sdk 进行卸载。
2025-08-08 10:52:34
554
原创 AI代码审计工具︱基于大模型技术革新的代码安全智能助手:灵脉AI4.0
每种编程语言和框架具有不同的语法、语义和结构特性,灵脉AI开发安全卫士4.0现已全面覆盖Java、C/C++、Python、PHP、Go、C#、JavaScript和Ruby等主流语言及其框架,支持跨语言、跨框架的缺陷检测,无论开发团队使用何种技术栈,均能根据语言特性调整分析方法,确保准确识别安全缺陷和质量缺陷。悬镜安全重磅发布灵脉AI开发安全卫士4.0,为用户提供与代码安全专家能力相当、智能好用的AI开发安全助手,真正实现安全左移、降低软件风险及缺陷修复成本,提升企业代码安全治理能力。
2025-08-07 15:56:10
1246
原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯—2025年8月6日
Apache OFBiz 是一个开源的企业资源计划 (ERP) 系统,提供全面的业务管理功能,包括客户关系管理 (CRM)、会计、电子商务等。该漏洞(CVE-2025-54466)发生在 Scrum 插件中,可能由于未正确验证用户输入或缺乏严格的权限控制,导致攻击者可以通过恶意构造的请求在目标系统上执行任意代码。在 1.0.20 之前的版本中,由于命令解析错误,攻击者可以绕过 Claude Code 的用户确认提示,执行未经信任的命令。官方修复:官方已发布补丁更新包,请升级至无漏洞版本进行修复。
2025-08-07 11:57:13
740
原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯—2025年8月5日
RatPanel 使用了来自 `github.com/go-chi/chi` 的 `CleanPath` 中间件来清理 URL 路径,但该中间件仅清理路由内部路径,而不会清理 `r.URL.Path`。由于 `must_login` 中间件依赖未清理的 `r.URL.Path` 来进行白名单校验,导致攻击者可以通过构造带多余斜杠的 URL(如 `//api/ws`)绕过认证逻辑,从而访问高风险接口(如 `/api/ws/exec` 和 `/api/ws/ssh`)。此问题已在版本 0.54.1 中修复。
2025-08-06 10:32:18
480
原创 OpenSCA用户访谈第二期:互联网科技公司如何用OpenSCA“锁”住开源风险?
因此,供应链安全对我们来说不是加分项,而是必选项,一旦某个依赖库出现高危漏洞(比如Log4j2、OpenSSL),不仅影响自研平台的稳定性,更可能通过客户部署的系统扩散到金融、制造等关键行业,后果不堪设想。OpenSCA可以准确地检查代码中的所有依赖项,解析代码中使用的开源包的深度和复杂性,能够确保在各个级别都进行合适有效的漏洞检测,并生成清晰的SBOM(软件物料清单),这让我们第一次真正“看清”了软件供应链的全貌。由于已识别的组件漏洞数量庞大,很快就会掩盖了漏洞的可见性及其对企业构成的真实风险指数。
2025-08-06 10:30:31
719
原创 OpenSCA用户访谈第一期:全球生产制造大厂的开源安全痛点,谁懂!
许可证和SBOM这块,我个人主要关注的就是SBOM的组件信息和漏洞信息,领导层面会更关注许可证合规问题,像我们这种大企业,可能有人从网上下载许可证已经过期、没有授权的插件,会涉及到合规的法律风险,希望能把这些风险信息提炼出来。开发人员可以在开发阶段就做一个初步的检查,扫出来漏洞之后直接修改,这种方式小范围实施还好,但是针对规模比较大的单位及系统,这么多开发人员,你没有办法要求每个人都做这样的管控,所以说就必须要有一个安全审计员的角色。参照木桶原理,系统的安全等级是由安全级别最低的部分决定的。
2025-08-05 11:19:56
443
原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯—2025年8月4日
在该组件中,由于缺少边界检查,可能发生越界写入漏洞(CWE-787)。该漏洞的根本原因是程序未对输入数据的范围进行充分校验,导致攻击者可以通过精心构造的输入数据覆盖内存区域,进而引发安全问题。利用该漏洞,需要攻击者具备物理访问设备的条件,且不需要额外的执行权限,同时需要用户交互以触发漏洞。开发者可通过命令 pip show dsidelib在项目目录下使用查询是否已安装存在恶意投毒的组件版本,如果已安装请立即使用 pip uninstall dsidelib -y 进行卸载。
2025-08-05 11:17:31
994
原创 国内首个开源SCA社区——OpenSCA开源社区
行业层面,作为开源共享的解决方案,OpenSCA可在用户及其上下游的供应链上作为安全入口发挥作用,输出制品清单给到供应链上下游环节用于共享、检查及管理开源组件的引入和风险情况,协助建立贯穿整个链条的安全管理机制,突破单个用户的场景限制,实现开源安全的共担、共享、共建。商业版本在前,开源版本在后。行业层面,OpenSCA社区将进一步拓展与信创产业的融合创新,加快与国产开源操作系统、CI/CD工具、DevOps工具等的技术集成,为整个开源生态提供基础安全能力,为更多用户提供无感知、零成本的开源风险治理能力。
2025-08-04 12:02:03
1072
原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯—2025年8月1日-8月3日
在项目目录下使用 npm list vscode-kubernetes-tools 查询是否已安装该组件,或使用 npm list -g vscode-kubernetes-tools 查询是否全局安装该投毒版本组件,如果已安装请立即使用 npm uninstall vscode-kubernetes-tools 或 npm uninstall -g vscode-kubernetes-tools 进行卸载。此漏洞的成因是对输入数据长度的校验不完善,导致写入操作超出缓冲区边界,可能覆盖关键内存区域。
2025-08-04 11:54:54
945
原创 技术分享 | 悬镜亮相于“2025开放原子开源生态大会软件物料清单(SBOM)”分论坛
OpenSCA社区的开源项目起源于悬镜安全商业版源鉴SCA,是国内用户量最多、应用场景最广的开源SCA技术(中国信通院《2024中国DevSecOps&BizDevOps现状调查报告》),通过软件码纹分析、依赖分析、特征分析、引用识别与开源许可合规分析等综合算法,深度挖掘开源供应链安全风险,智能梳理数字资产风险清单,结合SaaS云平台和实时供应链安全情报,为社区用户提供灵活弹性、精准有效、稳定易用的开源数字供应链安全解决方案。还包括对漏洞的分析,例如漏洞是否可被利用,以及如何减轻或修复漏洞。
2025-07-31 15:50:14
1401
原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯—2025年7月30日
该框架的 multipart form data 和 JSON 请求处理模块在处理文件上传请求时存在安全缺陷,具体表现为:在序列化与反序列化逻辑中,自动下载用户提供的 URL 指向的文件,但缺乏对内部网络地址的验证。multipart form data 的序列化模块(`MultipartSerde`)完全未进行 URL 校验,而 JSON 请求处理模块(`JSONSerde`)仅进行基本的 URL 方案校验,未限制对内部网络、云服务元数据端点和 localhost 的访问。严重 (CVSS3: 9.9)
2025-07-31 10:05:45
659
原创 重磅发布!悬镜安全通过运行时应用程序自我保护( RASP)工具能力评估
悬镜安全旗下核心产品云鲨RASP,是悬镜第四代DevSecOps数字供应链安全管理体系中运营环节的积极防御平台,凭借轻量级“AI智能代码疫苗“技术,通过插桩专利级AI检测引擎、应用漏洞攻击免疫算法、运行时安全切面调度算法及纵深流量学习算法等关键技术,将防护逻辑与防护功能注入应用程序,深入应用运行时的环境内部,无需人工干预,使应用拥有威胁自免疫能力。标准,对于工具的检验分析能力要求、工具灵活性能力要求、分析辅助能力要求、工具扩展性能力要求、部署能力要求、安全性能力要求、服务支持能力要求。
2025-07-30 11:29:13
649
原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯—2025年7月29日
组件 react-nodes 的index.js文件包含恶意代码,其主要功能是远程下载并执行恶意bash安装脚本(package-install.sh),bash脚本进一步从github上(https://github.com/laravel-main/laravel-composer/raw/refs/heads/main/packages)拉取投毒者投放的Linux ELF恶意木马程序(laravel-composer),木马程序会被进一步写入Linux系统服务实现开机自启动。
2025-07-30 10:20:39
1104
国内为什么没有人做AI搜索类GEO营销工具的
2025-02-17
TA创建的收藏夹 TA关注的收藏夹
TA关注的人