搜索中心

供应链安全是指保护整个供应链过程中的网络安全和数据完整性的措施和策略。供应链不仅包括物理商品的流动，也包括软件、服务和数据的流动。供应链安全的目标是确保供应链的每个环节都尽可能安全，防止潜在的安全威胁和风险，如数据泄露、知识产权盗窃、恶意软件注入、产品篡改等。

【供应链安全】Bootcss CDN 疑似被投毒

默安科技巡哨于今年4月已支持SonarQube未授权访问漏洞的检测。

👍👍👍

2023年，约有 78% 的公司使用开源软件，90%的云平台以及区块链项目使用了开源组件进行构建。随着开源软件的广泛使用以及软件供应链安全治理困难，勒索组织有针对性的攻击关键供应商，进而勒索软件供应链下游拥有敏感数据、能够支付高额赎金的组织

软件供应链安全，是学术界和工业界的共同热点，学术洞见与产业方案双向奔赴，有机会形成根技术和新质产品。

从被动防御到主动管理,从单点工具到全面平台,从简单扫描到深度分析,软件供应链安全正在经历一场深刻的变革。

开源组件治理

任何一个高速发展的新技术方向在形成广泛共识（也是趋于成熟的）的过程中需要行业创新者和领头羊贡献大量的最佳实践，且应该有一个良好的社区反馈来促进最佳实践的不断完善，最终更高效的赋能所有的企业和参与该技术方向建设的每一个人。

软件供应链安全技术交流群（OSCS）第一次线上闭门研讨会实录

让我们跟随团队成员梅苑师傅的脚步，深入学习 ChatGPT 中的高级 API 攻击以及AI供应链漏洞，踏足AI安全的领域，朝着新方向进发！

10月13日，金融行业软件供应链安全治理闭门研讨沙龙，分享如何应对金融行业开展开源软件供应链安全治理时普遍会遇到的六大关键挑战

10月13日下午2时，本次论坛将邀请来自银行、证券、行业监管有丰富经验的技术专家围绕金融行业在软件供应链安全建设方面的实践展开，深入分享金融行业在软件供应链安全的需求痛点及建设实践经验，并在与会嘉宾之间展开深入的探讨交流，共同学习和进步。

Numen安全团队发现Ledger的ledgerhq/connect-kit模块被植入恶意钓鱼代码，大量的 dapp集成了该功能，受到影响的 dApp 列表没有明确的统计，范围极广。

作为 2023 年 8 月开始的持续活动的一部分，已观察到威胁行为者向 NuGet 包管理器发布了新一波恶意包，同时还增加了一层新的隐身性以逃避检测。

预览

预览

预览

预览

57人阅读

2024-07-18

文末暗号

盘点RSAC会议上软件供应链安全议题的特点、趋势及启示。

展望未来，墨菲安全致力于在网络安全领域，尤其是供应链安全方向的深耕细作。我们的目标是为企业提供易用、专业且创新的软件开发安全解决方案，成为行业中最懂用户需求、产品最佳用的安全服务供应商。

展望未来，墨菲安全致力于在网络安全领域，尤其是供应链安全方向的深耕细作。我们的目标是为企业提供易用、专业且创新的软件开发安全解决方案，成为行业中最懂用户需求、产品最佳用的安全服务供应商。

从信息和通信技术 (ICT) 供应链风险管理（SCRM）工作组的一些关键时间线的关键事件来分析一下美国ICT供应链安全的发展情况。

厂商

墨菲安全

132

0

墨菲安全提供专业的软件供应链安全管理解决方案，能力包括软件成分分析(SCA)、代码安全检测、开源组件许可证合规管理等，助您打造完备的软件开发安全能力

厂商

悬镜安全

118

0

悬镜安全以守护中国数字供应链安全为己任，专注于以原创代码疫苗技术为内核，创造性构筑基于下一代积极防御框架的DevSecOps敏捷安全体系，坚守PLG产品创新驱动价值增长的商业理念，持续帮助行业用户高效解决数字化转型过程中面临的未知安全挑战。

产品

安天融川代码安全检测系统

安天

72

0

安天融川代码安全检测系统AntiySCS（Security Code Scan）是安天自主研发的面向软件产品全生命周期的安全开发检测系统。在应用上线前尽可能早地消灭高危漏洞、业务安全风险等在内的安全问题，从源头上避免安全事故。融川是一款全面、高效的代码安全解决产品，融合了软件组件分析（SCA）和静态应用安全测试（SAST）的先进能力。它旨在帮助企业和开发团队发现和修复代码中的安全漏洞、弱点和潜在风险，从而提升软件质量和保护业务安全。替代繁重的人工步骤，在开发阶段及时阻断不安全的组件及源码，从而防止来自软件供应链的污染传播。

产品

murphysec

墨菲安全

106

0

墨菲安全专注于软件供应链安全，具备专业的软件成分分析（SCA）、漏洞检测、专业漏洞库。

预览

预览

预览

预览

产品

云脉XSBOM

悬镜安全

119

0

悬镜云脉XSBOM是国内首个AI驱动的数字供应链安全情报预警平台，提供实时动态监测和溯源分析，帮助企业快速应对风险。平台融合多渠道数据，实现情报的快速、准确、全面推送，支持私有化部署和API接口，适用于金融、电商、能源等多个行业。

产品

源鉴SCA

悬镜安全

103

0

悬镜源鉴SCA是一款创新的开源数字供应链安全审查与治理平台，采用先进的多源SCA技术，精准识别并分析软件开发中的开源组件，深度挖掘潜在安全漏洞和开源协议风险，为企业提供全面的开源治理解决方案。

产品

雳鉴 SCA

默安科技

135

0

雳鉴 SCA 专注解决软件安全开发流程中研发阶段以及软件供应链中的第三方组件安全问题，是默安科技基于软件安全开发生命周期管理的软件成分安全检测系统。

厂商

蜚语科技

129

0

蜚语科技是一家专注于提供软件供应链安全创新解决方案的网络安全企业，成立于2019年。 蜚语科技孵化自上海交通大学计算机系，创始团队由4名博士组成，拥有十数年的前沿安全研究和一线安全业务经验。 。

产品

安恒容器安全检测平台

安恒信息

103

0

容器安全检测平台基于DevOps全生命周期安全防护理念，为容器技术提供全方位的安全保障。平台涵盖开发、构建、部署、运行等阶段，通过镜像风险扫描、行为模型分析、威胁狩猎溯源等技术手段，建立全生命周期安全防护体系。

厂商

青藤云安全

175

0

作为中国云安全整体解决方案领军者，青藤聚焦于关键信息基础设施领域的云安全建设，坚持“技术创新，科技报国”的初心，为数字中国、网络强国事业发展做贡献。

产品

xpoc

长亭科技

615

0

为供应链漏洞扫描设计的快速应急响应工具

产品

云鲨RASP

悬镜安全

137

0

悬镜安全推出的云鲨RASP是一款基于AI的自适应云防御平台，采用专利级AI检测引擎和应用漏洞攻击免疫算法，实现运行时安全防护。它通过深度学习技术，有效避免误报，降低配置需求，提供全面的威胁防御能力，适用于金融、能源、政务等行业，助力企业构建敏捷安全的DevSecOps体系。

产品

灵脉IAST

悬镜安全

127

0

悬镜安全的灵脉IAST是一款集成深度学习技术的灰盒安全测试平台，致力于DevSecOps全流程中的安全能力左移前置。它结合SAST与DAST的优势，实现低误报、高检出率，支持多源SCA分析和容器镜像扫描，简化流程融合，助力企业高效实践DevSecOps。

厂商

开源网安

71

0

开源网安创立于2013年，是中国软件安全行业创领者、网络安全百强企业。

产品

斗象APTP攻击面检测管理平台

斗象科技

106

0

斗象科技的APTP攻击面检测管理平台，是一款自动化渗透系统，专注于企业级应用组件的攻击面检测与管理。平台利用先进的动静态爬虫、资产关联分析、原子化渗透能力编排等技术，全面深入地对数字应用形态进行安全巡航，有效维护企业资产安全。

厂商

海云安

67

0

深圳海云安网络安全技术有限公司成立于2015年，是一家专注于AI大模型赋能安全左移的国家级高新技术企业和专精特新企业。

产品

FORadar互联网资产攻击面管理平台

华顺信安

127

0

FORadar是华顺信安科技有限公司推出的互联网资产攻击面管理平台，专注于自动化运维管理企事业单位的互联网资产安全。它通过内置资产线索库、多维度资产管理、风险矩阵自动管理等技术特点，帮助用户全面盘点资产、收敛暴露面、提升品牌风险管理能力，实现资产运营效率的提升。

厂商

长扬科技

52

0

长扬科技（北京）股份有限公司是一家国资监管下、市场化运作，专注于工业互联网安全、工控网络安 全和“工业互联网+安全生产”的国家高新技术企业，国有资本占股近50%

产品

STORK 软件成分分析平台

蜚语科技

134

0

于传统软件成分分析技术之上叠加了前沿的静态分析技术，帮助用户准确的梳理软件成分， 更加精确的发现三方漏洞与License风险。

产品

云图 Cloud Atlas

长亭科技

375

0

云图 (Cloud Atlas) 攻击面管理运营平台，听于无声 见于无形，复杂世界里的风险管理

厂商

联通数科

69

0

中国联合网络通信集团有限公司（简称“中国联通”）在国内31个省（自治区、直辖市）和境外多个国家和地区设有分支机构，拥有覆盖全国、通达世界的现代通信网络和全球客户服务体系，在2024年《财富》世界500强中位列第279位。作为支撑党政军系统、各行各业、广大人民群众的基础通信企业，中国联通在国民经济中具有基础性、支柱性、战略性、先导性的基本功能与地位作用，具有技术密集、全程全网、规模经济、服务经济社会与民生的特征与属性。

产品

云安全资源池

启明星辰

144

0

启明星辰推出的云海安全专有云系统（Vetrix）是一款新一代云安全资源池平台型产品，专为私有云或虚拟化资源池用户设计。它通过虚拟化安全资源池、智慧流平台（SDS）和云导流系统（VTAP），实现对虚拟化环境的深度防护和弹性扩展，满足用户对安全性能的动态需求。Vetrix支持集中管理、快速伸缩性、资源池化，具备动态自适应安全、方案适用性强、安全独立运营等技术优势，为用户提供安全合规、灵活扩展、独立部署和设备利旧的用户价值。

厂商

宝塔

151

0

广东堡塔安全技术有限公司(以下简称堡塔)正式成立于2017年，专注于服务器运维效率及运维安全领域，主要为中小型企业及政企单位还有需要使用服务器的团队提供新一代的服务器运维产品和服务。凭借持续的研发投入及不断的创新迭代，堡塔已发展为产品体系比较完整的的服务器运维软件供应商。至今，堡塔产品经过了200多次的版本迭代发布，国内共有800万的服务器安装量，被1000多个中大型企业及政企选择使用，同时堡塔发布的海外版本也被全球200多个国家的用户选择并使用。堡塔已经成为服务器运维软件领域的知名企业。

厂商

深信服

345

0

深信服科技股份有限公司是一家专注于企业级安全、云计算及基础架构的产品、服务和解决方案供应商，致力于让每个用户的数字化更简单、更安全

产品

山石网科工业网闸

山石网科

84

0

山石网科工业网闸IGAP系列是专门为工业网络安全设计、开发的安全隔离与信息交换系统。采用耐高湿、防尘、抗电磁、抗震、冗余供电设计，保证高可靠性；支持多核并行控制、优化的软硬件架构多种技术，全方位保证设备的高可用性与高可靠性。

厂商

飞天诚信

109

0

飞天诚信科技股份有限公司是嵌入式操作系统及数字安全系统整体解决方案的提供商和服务商，专注于数字经济的两个核心领域：身份认证和支付安全。

产品

指掌易SDP

指掌易

129

0

指掌易SDP是一个基于“零信任”理念的安全接入网关，提供SPA单包授权、最小授权原则、持续信任评估等技术，将企业业务应用从互联网上“隐身”，避免被扫描和攻击，保证业务访问的安全性。

产品

aTrust零信任访问控制系统aTrust

深信服

110

0

零信任访问控制系统aTrust是深信服基于零信任安全理念推出的一款以“流量身份化”和“动态自适应访问控制”为核心的创新安全产品。业界率先推出主动防御 + 被动防御一体化能力，基于传统 SDP 架构“账号、终端、设备”三道防线，持续增强防线内纵深防护；扩展主动防御能力，创新融合威胁诱捕、安全雷达等技术，形成新一代零信任架构 X-SDP。同时，aTrust作为深信服零信任平台ZTA的核心组成部分，支持对接态势感知、EDR、AC等多种安全设备，安全能力持续成长，助力用户网络安全体系向零信任架构迁移，帮助用户实现流量身份化、权限智能化、访问控制动态化、运维管理极简化的新一代网络安全架构。

产品

UniSAG零信任智能API网关

联软科技

89

0

联软科技的UniSAG零信任智能API网关是一款企业级应用服务能力开放平台，提供API全生命周期管理，实现API服务的统一托管、认证、鉴权，构建API安全防护屏障，助力企业数字化变革，优化业务协同效率。

产品

奇安信天眼

奇安信

435

1

奇安信的威胁监测与分析系统（天眼）是一款以攻防渗透和数据分析为核心的安全产品。它利用网络流量和终端EDR日志，结合威胁情报、规则引擎、文件虚拟执行和机器学习等技术，精准识别并响应已知和未知的高级网络攻击。系统通过本地大数据平台存储和查询流量日志与终端日志，实现 事件的深入分析、研判和回溯。同时，天眼结合边界NDR、终端EDR和自动化编排处置功能，能够及时阻断威胁，保障网络安全。

厂商

联软科技

90

0

联软科技创立于2004年，拥有1000多名员工，专注于企业级网络安全市场，聚焦防勒索(入侵)、防泄密、数字化安全新基建三大核心赛道全速向前

产品

天清汉马工业防火墙

启明星辰

128

0

启明星辰集团的天清汉马工业防火墙IFW-3000系列，专为工控网络安全设计，具备宽温、防尘、抗电磁、抗震特性。支持多种部署形态，内置百种工业协议，提供深度过滤解析，保障工业网络每层边界的安全。

厂商

天行网安

75

0

拓尔思天行网安信息技术有限责任公司成立于2000年，是国内较早从事网络安全及数据交换技术研发的高新技术企业。