- 综合排序
- 最热优先
- 最新优先
数字化业务风险主动防御与软件供应链安全治理核心洞察
破解影子资产激增与开源软件供应链的合规困局 在数字化转型与万物互联(如智能网联汽车、工业互联网)的演进下,企业的资产维度呈指数级增长,安全防守面随之无限扩大。 软件供应链底层依赖失控: 腾讯开发安全产品经理杨振宇指出,随着开源组件和第三方供应商的高度引入,Log4j、Spring框架以及XZ后门等高危漏洞频发。 构建“攻击者视角”的暴露面与源代码双驱检测体系 针对数字资产与供应链的双重隐患,腾讯安全(以高睿、杨振宇为代表的专家团队)基于自身26年服务10亿级用户的安全运营经验,提出并落地了以下针对性技术解决方案 依托底层算法与生态沉淀构筑技术壁垒 针对复杂的数字主权与智能网联安全挑战,企业选择腾讯T-Sec体系的核心决策依据在于其底层算法的领先性与行业权威认可: 权威机构评估认证: 腾讯攻击面管理产品成功入选 斩获国家级行业大奖: 相关创新产品荣获由中国网络安全产业联盟颁发的 “2024年网络安全优秀创新成果大赛”优胜奖。
10900编辑于 2026-05-30Gitee推出SBOM扫描功能:为开源供应链安全构筑数字防火墙
Gitee推出SBOM扫描功能:为开源供应链安全构筑"数字防火墙"在开源软件占据现代软件开发90%以上组件的今天,供应链安全已成为行业不可忽视的挑战。 Gitee最新推出的SBOM(软件物料清单)扫描功能,正在为开发者提供一套完整的开源组件风险管控方案,这标志着国内代码托管平台在软件供应链安全领域迈出了关键一步。 开源繁荣背后的安全隐患随着Log4j、Spring4Shell等重大漏洞的爆发,开源组件的安全风险已成为全球性问题。美国NTIA的调查显示,超过80%的企业无法准确追踪其软件中的开源组件。 与单纯的代码托管相比,SBOM扫描代表着平台开始向软件供应链上游延伸服务价值。这种转变符合全球开发者平台的发展趋势,也体现了Gitee对行业痛点的深刻理解。 随着功能的持续迭代,未来还将加入自定义策略、自动化修复建议等进阶能力,为不同规模的企业团队提供更灵活的安全方案。在数字经济时代,软件供应链安全已成为国家战略的重要组成部分。
43810编辑于 2025-09-15- 来自专栏2024年网络安全宣传周
网络安全宣传周 - 供应链安全
1.1 供应链安全,网络安全关键防线在当今数字化时代,网络安全已成为国家、社会、企业乃至个人绕不开的重要命题。而供应链安全作为网络安全的关键防线,其重要性不言而喻。 有的安全事件已经阻碍正常工作生活的持续稳定运行,甚至危害国家安全。另一方面,数字化发展是数字技术与实体经济深度融合的 “加速器”,为提升供应链安全水平带来了机遇。 政府应聚焦产业转型、质量升级和服务供给等方面的核心需求,积极引导构建供应链主体从供应链到物流的数字化全景图,不断提升端到端的数字化供应链运营能力。 同时,围绕优势主导产业开展强链延链补链工程,进一步落实和细化龙头企业牵头带动供应链稳定的金融支持政策,推动更多的数字化转型领域国家标准的制定,不断完善供应链数字化转型升级的整体解决方案等。 加密技术是一种重要的风险应对手段,如在供应链网络中,开发人员应该在他们的应用程序中构建最新的加密技术,对供应链使用数字签名、会话中断和多因素身份验证,增加从企业发送到供应商的数据的安全性。
1K10编辑于 2024-11-02 - 来自专栏旅途散记
谷歌的开源供应链安全
摘要 谷歌在开源软件供应链安全方面的工作 介绍供应链安全概念和不同类型的攻击案例 加强理解软件供应链,探索构建、分析方法 使用加密签名、构建可重现的构建流程保障供应链安全 提倡内存安全编程语言如 今天的演讲主题是Google的开源供应链安全。首先,让我们了解一下“供应链安全”到底是什么意思。通常,当我们谈论供应链安全时,是指针对供应链攻击的工程防御。现在,我们需要定义什么是供应链攻击。 现在我们可以将开源供应链安全定义为防御开源供应链攻击和开源供应链漏洞的工程。 供应链安全是整个行业都在努力解决的问题,我们都在寻求有意义的进步。今天,我将重点介绍谷歌在软件供应链安全方面的工作。 总体来说,我们的方法分为三个部分:了解供应链、加强供应链和监控供应链。 这些数字令人担忧。即便采用现代的覆盖率指导技术,模糊测试仍然十分复杂,就像用石头敲打代码一样。它发现漏洞的效力,可以看作是对现代软件实践的严厉指责。
69910编辑于 2023-12-19 - 来自专栏tea9的博客
软件供应链安全简析
供应链安全背景 近年来,针对软件供应链的安全攻击事件呈快速增长态势,造成的危害也越来越大。 供应链安全将是未来的重要挑战,从网络安全角度去思考的话,可以明显看到当前的商业组织似乎更多的关注自身网络安全建设,但日防夜防、“家贼”难防,任何一个薄弱的供应链都可能成为这个难防的“家贼”。 2021年5月12日,美国发布了《关于改善国家网络安全》的第14028号行政命令(EO),明确要求美国联邦政府加强软件供应链安全管控,迅速提高软件供应链的安全性和完整性。 今年5月,美国国家标准与技术研究院 (NIST)更新了解决软件供应链风险的网络安全指南,该指南帮助组织将网络安全供应链风险考虑因素和要求纳入其采购流程,并强调监控风险的重要性。 针对sca工具的选用: 1.代码安全性,代码作为企业重要的数字资产,在对于sca检测的时候,需要做到不上传代码检测sca或者可本地部署,才可以保证代码的安全性。
1.2K20编辑于 2023-02-28 如何防范供应链攻击?腾讯云主机安全三大策略守护企业数字资产
摘要 供应链攻击正成为企业数字化转型的隐形杀手,恶意软件包通过开源库、第三方组件等渠道渗透,导致数据泄露、服务瘫痪等风险。 本文结合腾讯云主机安全最新产品能力,从资产管理、漏洞防御、攻击检测三大维度,为企业提供可落地的供应链安全防护方案,并附赠限时优惠活动指南。 二、腾讯云主机安全:供应链防护的核心能力 腾讯云主机安全(CWP)依托千亿级威胁情报库和AI引擎,为企业提供覆盖“事前-事中-事后”的全链路防护: 核心功能 供应链防护价值 四、腾讯云主机安全限时优惠 主机安全专业版: 产品体验首单2.9折即23.2/月;新老同享6折起; 主机安全旗舰版: 产品免费体验7天;新老同享6折起; 五、客户实践:某头部互联网企业的供应链安全闭环 结语 供应链攻击的复杂性和隐蔽性要求企业必须采取主动防御策略。腾讯云主机安全凭借全栈防护能力和灵活部署方案,已成为金融、政务、互联网等领域客户的信赖之选。
50810编辑于 2025-09-29- 来自专栏FreeBuf
聊聊供应链安全:建议与方法
建议方法 供应链就是以合适的价格、地点和时间为顾客提供他们需要的资源。供应链安全是一个多学科的问题,需要业务、客户支持和IT之间的密切协作和执行,这有其自身的挑战。 供应链安全建议 供应链安全需要多方面考虑。没有万能方案,但是组织可以用分层防御的组合来保护供应链。由于专注供应链安全的团队使威胁参与者更难实施攻击,因此获得了更多的时间来检测恶意活动并采取行动。 通过网络钓鱼模拟和红队,聘请渗透测试专家发现新旧应用、供应链基础设施以及人的所有方面的漏洞。 数字化与现代化。如果在商业交易中仅仅依靠纸质、电话、传真和电子邮件,那么数据的安全就很难保障。 重要手工流程的数字化是关键。技术解决方案可以从基于手工、纸质的流程切换,并将安全性、可靠性和治理带到工作事务中,为企业内部以及与客户和交易伙伴之间的安全数据移动提供基础。 当通过互联网进行交易时,数字签名、多因素认证和会话中断将提供额外的控制。 数据交换与可见性权限控制。多企业业务网络使用基于用户和角色访问的工具,确保战略合作伙伴之间安全可靠的信息交换。
1.5K10发布于 2021-02-08 - 来自专栏FreeBuf
聊聊供应链安全:政策与问题
今天,来聊聊供应链安全,后面将会从政策、主要问题、方法、美国ICT SCRM实践等方面谈谈供应链。 8.2.6.2 供应链管理(云计算) b) 应将供应链安全事件信息或安全威胁信息及时传达到云服务客户; c) 应将供应商的重要变更及时传达到云服务客户,并评估变更带来的安全风险,采取措施对风险进行控制。 (配置、漏洞、补丁、病毒库)、供应链安全管理策略、安全运维策略等。 7.7.2 供应链安全保护 运营者应: a)制定供应链安全管理策略,包括:风险管理策略、供应商选择和管理策略、产品开发采购策略、安全维护策略等。 b)建立供应链安全管理制度,设置相应的供应链安全管理部门,提供用于供应链安全管理的资金、人员和权限等可用资源。
90410编辑于 2023-04-26 - 来自专栏用户9516085的专栏
什么是数字化供应链系统?企业如何利用数字化供应链系统增加销售渠道?
数字化供应链系统由开利网络自主研发,集产品基础管理、库存管理、流程管理、结算管理及产品共享管理等功能于一体,旨在为合作企业增加产品销售渠道、实现企业与企业之前的产品互链互通,最终达到对企业资源进行有效共享与利用的目标 有产品,缺销路是大部分企业都会遇到的问题,数字化供应链系统也将成为企业降本增效、以最低成本丰富产品线的重点和未来的选择方向。 蚓链数字化供应链系统可串联企业与企业的优质产品,实现产品一键共享、货款一键清算,最终让企业省钱、赚钱、更值钱。
69540编辑于 2022-03-25 构建数字安全免疫力:腾讯安全在威胁情报、软件供应链与数据治理的实战成效
从被动合规到主动免疫:企业安全建设的新范式 当前企业安全面临的核心困境在于,传统以合规为导向的防御模式难以应对日益复杂的网络威胁。 腾讯安全联合IDC提出的“数字安全免疫力模型”指出,企业需从“治已病”转向“治未病”,构建弹性、自适应、可扩展的主动防御体系。 通过软件供应链审计降低开源组件风险 腾讯科恩安全审计套件提供嵌入式设备检测、源码SCA(软件成分分析)及SBOM(软件物料清单)管理,覆盖鸿蒙生态及主流开发语言。 该方案实现: 事前精准管控开源组件风险,通过黑白名单机制最小化治理成本; 事中快速定位漏洞组件,结合BinaryAI二进制分析技术,实现漏洞函数级定位; 护网阶段通过SBOM台账快速响应开源组件威胁,提升供应链安全管理水平 数据安全治理实现全生命周期风险管控 针对某汽车行业Top企业的数据安全重保需求,腾讯构建从资产识别、分类分级到加密审计的闭环体系。
9610编辑于 2026-05-31- 来自专栏DevOps持续集成
安全软件供应链6个交付管道安全最佳实践
这些软件供应链组件中的任何一个弱点都可能是软件供应链攻击中使用的入口点或支点。当你考虑到我们的软件供应链已经变得很复杂时,2021 年软件供应链攻击增加了 51%也就不足为奇了。 交付管道和软件供应链安全 为了支持快速、迭代和高质量的部署,托管 VCS 和 CI/CD 管道已成为云原生组织的命脉。 在这篇文章中,我们将研究 VCS 和 CI/CD 管道中一些最常见的安全漏洞,这些漏洞可能会使供应链受到攻击。然后,我们将介绍安全专业人员可以实施以减轻供应链攻击的几个最佳实践。 但是,它们的默认配置并未考虑到安全性。再加上它们处于软件供应链的中心,这使得它们很容易成为黑客的目标。 为了保护他们的软件供应链,组织应该采取预防性的、纵深防御的方法来遵循 VCS 和 CI/CD 安全最佳实践,并利用策略即代码来随着时间的推移执行最佳实践。
1K30编辑于 2022-12-29 - 来自专栏数商云网络
纸业供应链管理平台协同全链路数字化,实现供应链数字订单营销智能管控
全球主要产业的供应链得不到有效恢复,也进一步推升了全球供应链成本,加剧了原材料和能源供需矛盾,加快产业链建设和完善提升原料自给率保障供给安全将是行业未来一段时期的重要课题。 ,专注于帮助企业实现纸业供应链的商业数字化升级。 1、数智化供应链管理平台全链路数字化 “互联网”+技术的发展,是传统供应链管理实现突破的催化剂,SCM供应链平台契合了传统企业的数字化转型需求,构建链接上中下游的供应链管理平台,为纸业企业提供可选择的能力模块 4、SCM供应链授信支付与供应链金融 纸业数智化供应链管理平台还可接入金融安全体系,SCM供应链平台支持大额在线支付,智慧供应链系统为企业建立安全的授信金融机制,提供授信评估,风控预警,供应链智能平台可引入商业银行 当前市场需求平稳向上的局面依然没有改变,企业要抓住机遇,加快数字化改造进程,促进产业升级。通过纸业供应链协同管理系统,完善供应链系统标准化建设,助力企业加快建构内外联通、安全高效的供应链、产业链。
84910编辑于 2022-04-19 - 来自专栏腾讯研究院的专栏
半导体:趋势、周期和供应链安全
半导体是整机设备的心脏,是支撑数字经济发展的关键基础设施单元。没有芯片,就没有数字化(欧盟委员会,2022)。随着数字化、网络化、智能化的发展,半导体在产品中的价值含量不断提升。 半导体是产品竞争力的重要组成部分,也是影响产业链和国家安全的关键环节。 日本试图重拾昔日辉煌,努力实现半导体复兴,发布了《半导体和数字产业发展战略》,八大巨头联合设立高端芯片公司Rapidus,目标是在2027年实现2nm芯片量产。 芯片的生产发生在一个全球性的、复杂的供应链中,并且在一些重要环节呈过于集中趋势,只有少数几家公司(甚至只有一家)能参与其中。 近年受新冠疫情和地缘政治等多重因素影响,全球缺“芯”日益严重,进一步暴露出半导体供应链的脆弱性。半导体是高水平科技自立自强的重要领域,是必须打赢的一场攻坚战。 本文作者: 闫德利 腾讯研究院资深专家
47910编辑于 2023-11-16 - 来自专栏数商云贸
企业数字化供应链解决方案
智慧数字化供应链是践行以客户为中心理念的关键,了解企业为何必须重新定义数字化供应链,以智慧、数字化的供应链管理方式将产品创新、计划、制造、执行和服务纳入供应链范围,从而提供卓越的客户体验,支持创新并赢得市场份额 一、数字化供应链系统创新技术 搭建数字化供应链系统利用简化的流程和创新性技术加速研发,创新型技术包括: 1、供应链平台产品生命周期管理; 2、企业供应链产品设计、工程、开发和成本核算; 3、供应链企业产品盈利能力分析 ; 4、数字化供应链项目组合管理; 5、供应链电商平台创新管理和协作; 二、数字化供应链系统计划对管理的作用 通过实现智慧供应链和协作式计划,提高由市场驱动的敏捷性。 1、数字化供应链系统管理和协作; 2、集成式业务计划; 3、库存优化; 4、数字供应链可视性; 5、预测分析和机器学习; 三、sap数字化供应链管理系统解决方案优势 在实时商务时代,数字化供应链企业要想成功 1、数字化供应链制造 通过智慧供应链地将生产流程与企业相集成,打造智慧工厂。
99350发布于 2021-05-17 - 来自专栏资讯分享
半导体:趋势、周期和供应链安全
闫德利 腾讯研究院资深专家半导体是现代数字经济的核心半导体是现代经济的基石。它无处不在,必不可少。 半导体是整机设备的心脏,是支撑数字经济发展的关键基础设施单元。没有芯片,就没有数字化(欧盟委员会,2022)。随着数字化、网络化、智能化的发展,半导体在产品中的价值含量不断提升。 半导体是产品竞争力的重要组成部分,也是影响产业链和国家安全的关键环节。 芯片的生产发生在一个全球性的、复杂的供应链中,并且在一些重要环节呈过于集中趋势,只有少数几家公司(甚至只有一家)能参与其中。 近年受新冠疫情和地缘政治等多重因素影响,全球缺“芯”日益严重,进一步暴露出半导体供应链的脆弱性。半导体是高水平科技自立自强的重要领域,是必须打赢的一场攻坚战。
46220编辑于 2023-07-26 - 来自专栏安全攻防
企业供应链安全体系建设思考
企业供应链安全信息安全里面的供应链安全,是狭义范围的供应链安全,其最终安全问题是体现在应用系统上的问题。 供应链的软件组件会持续支撑整个应用系统的生命周期,如果组件出现问题,会直接影响到应用系统的可用性安全性。应用系统的供应链安全,实际上是由三个部分组成的。 分别是应用安全里面软件开发中的依赖包(log4j),基础安全里面的应用运行组件(phpstudy),办公安全里的开发IDE(xcodeghost)。 供应链安全的建设落地1、状态调研及评估:调研安全建设状态,评估建设完成度。2、决策工作内容:结合调研结果,结合公司整体的建设方案,来决定工作内容,内容顺序,落地方案。 供应链安全建设中,优先级最高的是依赖包供应链的安全建设,其次是基础IT组件,其次是办公终端IDE安全。
39110编辑于 2023-08-25 - 来自专栏云云众生s
清洁的容器镜像:供应链安全革命
供应链安全 初创公司 Chainguard 在过去四年多的时间里,一直试图改变开发者和企业看待和使用 容器镜像 以及其中包含的 开源组件 的方式。 可视化 CVE 该公司本周 宣布正式推出 CVE Visualizations,这是 Chainguard Console 中的最新功能,是一个获取从安全到产品更新等所有信息的一站式平台。 借助这项新功能,组织可以更好地量化使用 Chainguard 的无 CVE 镜像所带来的工程、安全和财务效益。 这一切的基础是 Wolfi,Chainguard 定制的 Linux 发行版——或者他们称之为(非)发行版——它在构建时具有默认安全性,适用于 supply chain。 Dunn 说这没有道理,他将其与在没有农业部确保食品安全的情况下在超市购物的想法进行了比较。他说,如果这个世界的食品购买者有开发者的心态,他们会将购买不安全食品的风险视为做生意的成本。
33100编辑于 2025-02-09 - 来自专栏小程序类
软件供应链安全事件频发,安全问题怎样保障
FinClip是一种新型的轻应用技术,它有一个比较有趣的逻辑:企业的软件供应链在数字化时代可能是需要被重新定义的 - 有可能你的合作伙伴的代码运行在你这里、也有可能你的代码借道合作伙伴的平台去触达对方的客户 任何有潜在安全风险的前端代码,一经发现即可瞬间下架,用户端再也无法打开使用。这些安全管控的能力,可以说是企业尤其是金融机构数字化转型所必须。 对于企业而言,内部IT、外部合作伙伴,均可以作为“供应商”以小程序方式实现、提供数字化场景,从而形成数字生态。 企业必须面对真实存在的网络攻击威胁,这就是不可改变的事实,一旦遭遇软件供应链攻击,其造成的破坏都是非常严重的,数字化企业需要去除不言而喻的、隐含的对内外网任何应用、网络、用户的信任假设,应用之间、服务之间 但是对于通过供应链污染而“播种”内鬼的安全攻击,似乎这是最有效的手段。
83930编辑于 2022-10-26 - 来自专栏网络安全
全球供应链安全警钟:七大知名供应链攻击事件回顾
本文星尘安全就带着大家一起,来回顾一下近年来全球知名的七大供应链安全事件。 该程序被精心设计,通过合法的数字签名证书传播,骗过了大部分杀毒软件和安全监控系统。 ASUS的声誉因此次事件受到严重损害,迫使公司对其软件供应链进行全面审查,并采取额外的安全措施。 总结 这些全球知名的供应链攻击事件,展示了供应链安全的脆弱性与复杂性。 为了应对日益增长的供应链攻击威胁,下至企业,上至国家,都需要加强供应链的审查、强化安全协议,并实施更多的防御性技术来保护其核心资产和客户数据。
5.4K10编辑于 2024-09-25 - 来自专栏瓴犀学院
数字化供应链有何魔力,企业该如何选择供应链SaaS系统?
因传统供应链存在链长、串联、多节点这些特点,链长导致响应速度慢、串联容易导致供应链中断、多节点则容易造成信息不对称等问题,正是这些问题为行业带来了一定风险,有风险便有改进的空间,因而催生了数字化供应链。 此外数字化程度低、供需之间无法做到信息透明、供应链资源利用效率低下等固有难题也会进一步加剧供需失衡,使企业面临应对措施不力、被迫半停工停产、产能低下、统筹欠佳等难题。 难题驱动着各行业企业进行供应链转型升级,瓴犀在SCM供应链协同平台开发服务方面拥有多年的丰富经验,作为一家领先的企业全链数字化运营服务商,我们能够从挖掘客户的痛点和实际需求出发,为各行业企业定制搭建供应链 3、业务流程内外协同,提高采购管理效率数字化供应链系统实现采购过程“在线协同交互”,网上竞价、投标,采购过程更加便捷、公开。 数字化的竞争,是未来各行业最重要的竞争之一,推进企业供应链优化,改善优化企业业务的运营和调整支撑,瓴犀SaaS数智化供应链系统为企业实现市场业务发展战略和目标保驾护航。
1.2K10编辑于 2022-06-24
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号