供应链安全管理与实践
2015年9月,有人爆出XCode编译器中存在植入的第三方代码,非官方渠道下载的XCode编译发布的iOS应用可能存在后门,后经证实,有上千款iOS应用存在恶意代码注入,该事件被称之为XCodeGhost。 2017年5月,国外的安全人员发现惠普多个系列笔记本电脑的音频驱动中存在内置键盘记录器,能够监控用户的按键输入,并保存在可读文件中。之后,惠普回应称这是调试驱动的代码,并发布了更新驱动程序。
洞源实验室 | 网络安全实践与AI安全探索
3CX Desktop App供应链攻击分析
一、事件背景3CX是一家软件公司,该公司为客户提供基于软件的电话系统,用于企业或组织内部的通讯。 3CX电话系统可以在Windows或Linux服务器上部署,并提供包括VoIP、PSTN和移动电话在内的多种通讯方式。此外,3CX还提供一系列的通讯软件,包括用于电脑、移动设备及浏览器的应用程序,可以让用户通过各种方式与他人通讯。据3CX称,其提供的软件服务了600,000多个客户,遍布全球190多个
WECHAT二维码闪退分析
一、事件背景腾讯旗下的微信是一款社交通讯应用程序,由中国互联网巨头腾讯公司开发和运营。作为一款领先的社交应用,微信在全球范围内拥有大量的注册用户,且用户的活跃度极高。在微信中,用户可以通过扫描二维码来进行好友添加、进入公众号页面、加入群聊、进入小程序等。 2023年4月23日,用户在扫描或浏览某些畸形二维码时,会导致微信出现闪退等异常情况。 据了解,这种异常情况主要是由于畸形二维码造成的越界读取产
SDLC安全最佳实践:安全发布
安全发布是产品或项目的正式发布或正式上线活动,这意味着一旦发布完毕,所有的用户都可以看到和使用产品,如果被发现有安全漏洞或遇到安全攻击,其影响可能会涉及到所有的用户,轻则影响产品或公司形象,重则影响公众对于产品或公司的信任,甚至产生财产损失。 在SDL模型中,安全发布涉及到三个活动,分别是事件响应计划、最终安全评析以及发布/存档。 事件响应计划是公司安全部门应当具备和准备的能力和方案,不
SDLC安全最佳实践:安全验证
在软件开发生命周期(SDLC)的测试或验证阶段,不同的企业因为团队或者业务模式的区别而选择不同的做法和设计,单一的安全验证流程并无法满足所有的测试场景或验证场景。 比如,有的企业会有测试环境、预生产环境和生产环境,有的则只有测试环境和生产环境,有的甚至还会细分到开发人员本地的单元测试环境;测试环境的构建中,有的团队会要求开发人员本地测试通过后构建Docker镜像包,再通过诸如SonarQube等测
SDLC安全最佳实践:安全实施
安全实施的工作针对的是研发团队以及研发过程,之所以称为实施,是因为在该过程中不仅涉及到开发工作,还涉及到包括编码规范、工具使用以及静态代码审计等非具体开发类的内容。 在SDL的安全实施步骤中,主要有三个部分的内容: 采用恰当的、安全的开发工具; 采用合理的、安全的开发库或API; 实施静态代码审计,即静态分析。 使用恰当的、安全的开发工具可以避免由于开发工具自身的合规问题和漏洞问题导致企
软件设计中的七类安全问题
现在的软件正在逐渐定义一切,软件的形态也逐渐多样化,不仅仅是电脑或手机中看到的应用程序或App是软件,硬件设备等很多看不到的地方也正在有软件的构建和参与,比如汽车、电视、飞机、仓库、收银台等等,除了传感器之类的电子元件之外,硬件和软件的动作和数据都需要软件的参与,代码或多或少,形态或隐或现。 无论是什么样的软件,在开发过程中都会面临着Bug的发现和修复,而大的Bug往往能够在出厂之前或部署之前被开
安全产品应该如何在企业内有效落地?
在接触不同的客户中,发现很多客户在采购安全产品后,都面临一个同样的问题:不知道如何落地,或如何规模化的应用到企业内部。公司规模越大,这样的问题越明显,而主管和负责安全的人往往缺少相关的经验,或缺少非安全工作的经验,一旦做不好,不仅没有能够将安全水平提升,还会面临其他部门的埋怨,比如研发部门或测试部门向公司上层投诉,称安全部门采购或使用的某某产品导致研发进度受阻、效率降低,或影响测试效果和测试进度,