拿回你的主控權!守護供應鏈安全,從建立SBOM開始
本報告摘要:
任何資安專家恐怕都永遠無法忘懷 2021 年 12 月 9 日的悲劇。就在這天,應用廣泛的 Log4j Java 日 誌 資 料 庫 中 揭 露 了 一 個 重 大 漏 洞: CVE-2021-44228,也被稱為 Log4Shell,是一個遠端執行漏洞,讓攻擊者能夠完全控制受影響的系統。在漏洞揭露當下,一起漏洞濫用事件也已經被察覺,但這僅是風波的開端而已,更嚴重的問題隨即接踵而至。
現代應用程式是由許多開源軟體組件、套件以及微服務所結合建構而成。追蹤 Log4j 下落的複雜程度,充分說明應用程式資安防護面臨的挑戰,以及軟體物料清單 (SBOM) 是多麼地重要。 SBOM 在近年逐漸成為熱門議題。本電子書將介紹 SBOM,說明為何我們需要 SBOM、SBOM 在應用程式資安中的作用,以及如何建立 SBOM。
您將會從本白皮書學到:
- 問題是如何發生的?
- 了解供應鏈攻擊
- SBOM 是什麼?
- 誰需要 SBOM ?
- 如何建立 SBOM ?
- 如何運用 SBOM ?
請留下資料免費取得白皮書!
相關文章
近期專注於資訊安全的 Checkmarx 的供應鏈安全團隊追蹤到惡意攻擊的活動,其作業的手法比典型的資訊竊取操作更進一步,利用開發生態系與開發社群的供應鏈關係,將隱藏惡意行為的 PayLoad 藏身於合法的儲存庫(repository),近幾個月來,這種威脅不斷出現、不斷成長並不斷改變其樣貌,其攻擊的目標從特定應用系統、瀏覽器至使用者的資料,而這些藏有惡意之 Package 至今已累積 75,000 下載次數。
2023/12/08
叡揚資安團隊鼎力支持,為關貿打造最佳檢測環境。受惠於叡揚團隊的專業服務能力,使 Checkmarx 導人過程極為平順。叡揚不僅依據關貿網路當下與未來檢測量能,針對主機容量進行最適規劃,也悉心安排教育訓練、系統安裝及使用諮詢等工作,讓使用者無痛接軌新環境。隨著系統上線至今,只要 OWASP 等規範出現更新,叡揚都會立即提供 Patch 檔,確使品保中心恆常套用最新安全程式碼撰寫規則。
2023/03/01
本次受 CVE 影響的軟體是 Apache Commons Text,這是一個由 Apache 提供的開源軟體,此套件是一個針對字串的相關運用的演算法(例如:字串替換、查找、匹配等等演算法)。目前所發現的漏洞 CVE-2022-42889 存在於 1.5 至 1.9 版本中,當不受信任的資料被處理或是在使用 Variable Interpolation 功能時,可能導致攻擊者能進行任意代碼執行(RCE, Remote Code Execution)。
2022/11/02
今年 IT 圈最熱門的話題之一,便是資本額達百億元以上的上市櫃公司須在年底前完成設立資安長及資安專責單位。以往資深資安人才本就難尋,如今更是炙手可熱。日前台灣資安主管聯盟的成立大會上,會長金慶柏曾指出,目前全台資安人才缺口超過 4 萬人!既然對外招募不容易,那麼從企業內部培養資安人才、提升人員資安意識便是另一途徑。
2022/06/17