別相信任何人!別從不明來源下載程式碼

本報告摘要:
    幫助公司組織、管理階層、資安人員及開發人員瞭解開源程式套件裡存在的依賴關係完整性並瞭解為何依賴關係為軟體供應鏈最薄弱的環節。

    介紹數位經濟與開源軟體 (OSS) 應用之間的關係,並聚焦開源程式是盛行的攻擊媒介,應用於軟體供應鏈的完整性,以及討論傳統的軟體組成分析工具,在偵測惡意意圖的程式碼時,仍有它不足之處。最後介紹該如何避免從不明來源下載惡意程式碼。

      

您將會從本白皮書學到:

  • 如何讓資安工程師獲得正確的技能,協助開發團隊寫出高品質且安全的程式碼
  • 創造更高效積極的團隊文化

  • 可以透過兼顧程式碼品質及安全性達成的

    

對這篇技術文章感興趣?請留下資料免費取得!

      

      

麻煩留下您的基本資訊,以繼續下載內容。

請提供您的名字

請輸入您的公司或單位

請輸入您所屬部門

讓我們知道怎麼稱呼您

無效的信箱地址

請提供有效的電話號碼

請問是否同意我們的使用條款與願意收到行銷資訊

叡揚資訊(股)公司將遵循「個人資料保護法」之規定妥善處理、利用本表所載之個人資料,並採取資料保護措施。您有權提出要求使用、更正、補充、刪除或封鎖這些個人資料,或提出反對將您的個人資料用於直效行銷及/或接收特定或各類行銷資料,請將任何這些要求寄至:PIPA@gss.com.tw。

為了方便爾後繼續提供相關資訊與服務給您,本公司將保存您的個人資料及通訊,並存放「叡揚資訊客戶關係管理系統」資料庫中。將做為和您聯絡通知下列事項之用。

(A) 不定期寄送本公司所舉辦各類資訊活動、研討或訓練課程。
(B) 不定期寄送叡揚雜誌。
(C) 分享新資訊產品之相關簡介。
(D) 其它對您工作有助益的資訊商品或服務等有關訊息。

相關文章

資安通報: Python 惡意套件-請儘速檢查與移除

近期專注於資訊安全的 Checkmarx 的供應鏈安全團隊追蹤到惡意攻擊的活動,其作業的手法比典型的資訊竊取操作更進一步,利用開發生態系與開發社群的供應鏈關係,將隱藏惡意行為的 PayLoad 藏身於合法的儲存庫(repository),近幾個月來,這種威脅不斷出現、不斷成長並不斷改變其樣貌,其攻擊的目標從特定應用系統、瀏覽器至使用者的資料,而這些藏有惡意之 Package 至今已累積 75,000 下載次數。
2023/12/08

新聞中心 - 叡揚資訊與 Checkmarx 助攻 關貿網路打通 SSDLC 安...

叡揚資安團隊鼎力支持,為關貿打造最佳檢測環境。受惠於叡揚團隊的專業服務能力,使 Checkmarx 導人過程極為平順。叡揚不僅依據關貿網路當下與未來檢測量能,針對主機容量進行最適規劃,也悉心安排教育訓練、系統安裝及使用諮詢等工作,讓使用者無痛接軌新環境。隨著系統上線至今,只要 OWASP 等規範出現更新,叡揚都會立即提供 Patch 檔,確使品保中心恆常套用最新安全程式碼撰寫規則。
2023/03/01

資安通報: Apache Commons Text 1.5~1.9版 發布新的高...

本次受 CVE 影響的軟體是 Apache Commons Text,這是一個由 Apache 提供的開源軟體,此套件是一個針對字串的相關運用的演算法(例如:字串替換、查找、匹配等等演算法)。目前所發現的漏洞 CVE-2022-42889 存在於 1.5 至 1.9 版本中,當不受信任的資料被處理或是在使用 Variable Interpolation 功能時,可能導致攻擊者能進行任意代碼執行(RCE, Remote Code Execution)。
2022/11/02

軟體供應鏈必學資安課題,如何拉近開發與資安的距離?

今年 IT 圈最熱門的話題之一,便是資本額達百億元以上的上市櫃公司須在年底前完成設立資安長及資安專責單位。以往資深資安人才本就難尋,如今更是炙手可熱。日前台灣資安主管聯盟的成立大會上,會長金慶柏曾指出,目前全台資安人才缺口超過 4 萬人!既然對外招募不容易,那麼從企業內部培養資安人才、提升人員資安意識便是另一途徑。
2022/06/17