谷歌资助OSTIF审计8个重要开源项目,提升软件供应链安全
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
按照近期美国总统拜登召集科技教育等巨头召开安全会议结果,谷歌承诺提供1亿美元支持管理开源安全并修复漏洞的第三方基金会。今日谷歌宣布称将支持开源技术改进基金会 (OSTIF) 改进八个开源项目的安全性。
在谷歌的资助下,OSTIF 将推出审计管理计划 (MAP),扩展对开源生态系统起着重要作用的关键项目的深入安全审计。本轮入选的八个库、框架和应用将获益并在依赖于它们的开源生态系统产生最大的影响。这八个项目为:
Git:用于现代 DevOps 中的实际版本控制软件
Lodash:现代 JavaScript 工具库,具有200多种功能便于 web开发,支持 Javascript 的多数环境中,几乎涵盖多数万维网。
Laravel:很多现代全栈 web 应用都在使用的 php web 应用框架,包括和 Google Cloud 的集成
Sif4j:多种 Java 日志记录框架的登录面
Jackson-core & Jackson-databind:适用于 Java、Streaming API 和其它共享组件的 JSON,也是 Jackson data-bind 程序包的基础
Httpcomponents-core & Httpcomponents-client:这些项目负责创建并维护专注于 HTTP 和相关协议的底层 Java 组件
【开奖啦!!!!!】
限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市
上次的限时赠书活动中奖名单已出炉,恭喜以下同学中奖,请未填写地址的同学在微信后台私信地址,我们已经发出部分书籍啦。
@whyseu @。@HFwuhome@惊蛰 @nimo @XuZ @淡然 @Marco韬 @王孟 @Wecat@nwnλ @MOBE @湘北二两西香葱@※ @搬砖小土妞@云烟过眼 @r00t@小风 @傲雪@最好走的路是套路 @Zhao.xiaojun @浅笑淡然 @X-Star @Erick2013 @小秦同学 @X @王骏 @欢寻 @nbp@Mr. Guo
大家可移步京东电子工业出版社一睹为快!或直接点击“原文链接”购买。
如下是本书相关讲解:
奇安信代码安全实验室主任黄永刚在2021年北京网络安全大会上也发布了实验室在软件供应链安全方面相关的研究成果。
推荐阅读
微软8月补丁星期二值得关注的几个0day、几个严重漏洞及其它
微软发布5月补丁星期二:3个0day,1个蠕虫
微软补丁星期二:修复多个严重 RCE 和IE 0day
微软补丁星期二修复已遭利用的 Defender 0day
原文链接:
https://security.googleblog.com/2021/09/google-supports-open-source-technology.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
谷歌资助OSTIF审计8个重要开源项目,提升软件供应链安全相关推荐
- Repo Jacking:依赖关系仓库劫持漏洞,影响谷歌GitHub等7万多个开源项目的供应链...
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 三个场景可导致 GitHub 仓库遭劫持.直接组合使用这三个场景可导致恶意代码注入.千万别这么做. 背景 最近的一个客户项目使我们开始 ...
- Log4j2危情分析|开源软件安全、软件供应链安全与DevSecOps实践已刻不容缓
近日,安全圈被Apache Log4j2漏洞刷屏.一款使用范围超大的Java日志框架Apache Log4j2被曝出存在远程代码执行漏洞.该漏洞利用条件非常低,攻击者可以利用该漏洞远程执行恶意代码,从 ...
- 借助开源项目学习软件开发_借助开源硬件,SparkFun继续创新
借助开源项目学习软件开发 当SparkFun Electronics创始人兼首席执行官Nathan Seidle在科罗拉多大学攻读工程专业时,他被教导:"真正的工程师想出了一个主意,并为该主 ...
- 谷歌和GitHub 联手提出新方法,提振软件供应链安全
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士团队 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的 ...
- 微软谷歌出资500万美元推出 Alpha-Omega 项目,提升软件供应链安全
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软和谷歌投资500万美元,助力开源安全基金会 (OpenSSF) 推出 Alpha-Omega 项目,改进开源软件生态系统的安全. 美国政府和 ...
- GitHub 上数十个 NetBeans 开源项目被卷入供应链攻击
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 上周四,GitHub 披露称,托管在其平台上的数十个开源的 NetBeans 项目遭某恶意软件攻击,显然是供应链攻击的一部分. 3月9 ...
- linux物联网项目,6个开源项目提升物联网开发效率
有数据显示,目前物联网端口数量预计在200亿个左右.到2035年,这个数字会扩大到1万亿,平均每个人会拥有超过100台端口设备,它们将涉及穿戴.家居.交通.教育.通信等人类生活的各个领域. 毫无疑问, ...
- 开源项目 rails4scm 软件配置管理
http://rails4scm.google.com.cn software configration management on rails, coded with ruby 基于Ruby ...
- 开源项目如何挣钱? Spark 商业化公司创始人曝光心路历程
众所周知,开源项目对软件发展来说至关重要,但仍有人认为用开源项目来赚钱是对开源项目的一种亵渎. HashiCorp联合创始人兼 CTO Armon Dadgar.Databricks CEO Ali ...
最新文章
- 国产GPU为何“一夜杀到老黄城下”?
- POJ 1679 判断最小树是否唯一
- PHP扩展开发-01:第一个扩展
- [转载 整理]C语言链表实例
- 微软计划2008年初发布Windows Server2008
- VS编译提示错误“....Consider using strcat_s instead.To disable deprecation, use _CRT_SECURE_NO_WARNINGS.”
- iOS经典面试题之分析self class与super class的区别和底层原理
- 使用Spring boot,Thymeleaf,AngularJS从零开始构建一个新的Web应用程序-第1部分
- POJ 1741 Tree(树的点分治)
- android studio第三方调试,Android Studio完美调试
- 大规模Web服务开发技术
- Servlet接收JSP参数乱码问题解决办法
- Flink WaterMark 详解及结合 WaterMark 处理延迟数据
- 利用计算机指令清理垃圾,Win7电脑清理垃圾的运行命令代码是什么?
- IIS-网站报500.19错误代码0x8007000d问题解决
- 验证英文日期格式的正则表达式
- 全程无坑手撸k8s集群
- ERP开发之看板展示
- 一种锂电池充电器的设计方案(使用LM317)
- csdn WLW 文件验证
热门文章
- saiku 展示优化
- Magento 2.0 Alipay Cross-Border Mobile Payment Extension - Magento 2.0 支付宝跨境支付手机版...
- tomcat 访问本地C,D盘等文件配置
- WCF走你~一个简单的例子,根据用户ID,从用户模块(用户服务器)获得实体
- 2011年国外最受欢迎的15个音乐网站
- Zabbix安装和使用配置小结
- leetcode-231-Power of Two
- [转] js对象监听实现
- c++内存优化:二级间接索引模式内存池
- FastDFS介绍与安装配置