应用安全主导RSAC 2023创新沙盒大赛十强

78987ff6e7f1df4710456765d240438f.gif 聚焦源代码安全,网罗国内外最新资讯!

a394558e3e788dd92ffb34beca6e2157.png

专栏·供应链安全

数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。

为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。

注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。

2cf91f7f4a8ad96bbaa8c18e0b7f1bbe.png

政府法规合规、疫情后人力安全以及AI 能力提升推动着今年网络安全初创企业的发展,至少2023年的RSA 大会创新沙盒大赛十强结果揭示了这一点。

Omdia公司的高级首席分析师Rik Turner表示,“应用安全 (AppSec) 在大赛中占据相当大的比例,这是对我们正处于数字化转型过程中的反映。”他认为疫情导致全球的写字楼和学校关闭,组织机构不得不适应远程访问环境,催化了应用安全领域的崛起,“远程办公的趋势肯定会持续(至少是部分持续),即使疫情已消退为区域性质。”

裁判们将在旧金山4月24日举办的RSA大会上听取来自创新沙盒十强的展示,它们是(按字母顺序):AnChain.AI、Astrix Security、Dazz、Endor Labs、Hidden Layer、Pangea、Relyance AI、SafeBase、Valence Security 和 Zama。

01

应用安全的盛年

应用安全致力于在开发和实现过程中在应用层面消除安全漏洞,它的重要性在 Log4j 危机发生后得到强化。Turner 认为,“随着现代应用架构越来越多地组件化且更加愿意连接第三方应用获得服务如支付和地图等,威胁行动者现在可以通过攻陷一个网站,来获得对其它多个网站上应用的访问权限。”

Astrix 公司旨在保护各种应用之间的通信安全,这一领域有时候也被称作“SaaS 对SaaS的安全”。它强调将访问管理扩展到机器和其他非人类身份,更安全地将组织机构的核心系统连接到云服务中。

Dazz 公司提供“加速的云修复”服务,通过自动化精简安全告警并拉通开发人员的工作流。除了改进首次事件响应潮的速度和准确性外,自动化可降低告警疲劳,后者是备受关注的过劳因素。

Endor Labs 聚焦追踪和管理开源组件,而 Log4j 就是很大程度上未被追踪且广泛存在的潜在漏洞来源。2021年5月美国总统发布行政令后,物料清单 (SBOMs) 备受重视。Colonial Pipeline 入侵事件发生后,该行政令要求强制创建 SBOMs。Turner 指出,“即使在该事件发生之前,开发人员嵌入代码中的开源库数量已成为一个重大隐忧,促使全新市场细分领域即软件成分分析行业的出现。”

Pangea 公司通过基于拦截的 API builder 和自身托管服务本身,帮助组织机构创建安全合规的云安全服务。Turner 表示,“组织机构不一定了解自己的开发人员所编写的 API 是否安全,更何况自己的应用部署到生产环境中时,第三方API的安全性。”通过使用安全的 API 库,开发人员避免处理构建应用时与开源库的纠缠。

02

AI 的角色

人工智能虽然一直都很热,但随着 ChatGPT 处于流行文化时刻以及自身安全隐忧的出现,企业正在尽可能合理的地方使用AI 术语来描述自身的产品。虽然某些 AI 的炒作只是跳跃式的自动化,但 AI 为网络安全领域带来了很多好处。

Relyance AI 公司强调以机器学习作为跟踪在内部和第三方 API 以及其它系统中移动的个人数据的方法,以确保与隐私法规的合规性。Turner 将该公司归类为“一家同时涉足应用安全领域的数据安全公司,其技术旨在说明数字化转型所创建的业务环境。”

Hidden Layer 旨在确保被低估的业务资产的安全:机器学习数据集。该公司将该技术称为“机器学习检测和响应 (MLDR)”,通过监控机器学习算法的输入和输出,寻求“与竞争对手机器学习攻击技术一致的异常活动”。这样做的风险很高:如果机器学习训练数据被损坏,则输出也会出错,我们难以从黑盒中窥见问题所在何处。Turner 表示,“毕竟,可以‘投毒用于此类分析训练中的数据井’的任何人都可能修改结果,导致恶意或错误的看法,从而影响业务决策、医疗程序甚至是军事战略。”

03

Web3 防护领域

AnChainAI 保护一种非常 Web3 性质资产的安全。最近密币被盗事件频发,关于立法的呼声也不断高涨,负责维护密币钱包的组织机构需要确保他们不会成为犯罪的受害者。该公司构建了预测引擎,识别并标记可疑交易,并旨在将其 Know Your Wallet、取证和合约评估服务出售给金融机构、资产所有者和政府。

Zama 也通过一系列开源加密工具构建全同态加密 (FHE) 应用保护数据安全,解决 Web3 问题。该公司表示其工具可在无需解密的情况下处理数据,从而实现真正的端到端加密。Zama 公司认为该技术可赋能下一代 Web 安全 “httpz”,从基于 https 的安全进入加密安全时代。

04

传统领域

SafeBase 公司创建了关于安全策略和合规文档的中心仓库,使得安全审计更快速。它解决了一个专业但必要的第三方风险管理问题,包括分发更新后的认证以及管理保密协议等。Turner 提到了“单一信源”的价值,但指出,“重要问题一定是这些客户如何验证从信任中心收到的数据是合法的”。

Valence Security 公司通过使用 SaaS 安全态势管理 (SSPM) 保护云工作流的安全。它组合多种服务来监控客户端第三方 SaaS 应用网格、检测和修复配置不当问题以及管理身份安全。Turner 指出,虽然SSPM 领域和云安全市场中存在很多机会,但这一意味着Valence 也面临着很多竞争。

最后决胜者将在4月24日公布。今年的裁判是 Energy Impact Partners 公司的高级运营合伙人 Niloofar Razi Howe、独立研究员兼 Cryptography Research 公司创始人 Paul Kocher、Cato Networks 公司的联合创始人兼首席执行官 Shlomo Kramer、Ballistic Ventures 公司的联合创始人兼普通合伙人 Barmak Meftah以及微软公司的业务发展、战略和投资执行副总裁 Christopher Young。除了 Meftah 之外,其他人也曾担任去年大会的裁判。


代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

86db66f8b9922af6f545f1f065ea4f62.jpeg

推荐阅读

在线阅读版:《2022中国软件供应链安全分析报告》全文

奇安信入选全球《软件成分分析全景图》代表厂商

在线阅读版:《2021中国软件供应链安全分析报告》全文

第三方app受陷,Atlassian 数据被盗

奇安信总裁吴云坤:构建四大关键能力 体系化治理软件供应链安全

几乎所有企业都与受陷第三方之间存在关联

热门开源Dompdf PHP 库中存在严重漏洞

命令注入漏洞可导致思科设备遭接管,引发供应链攻击

命令注入漏洞可导致思科设备遭接管,引发供应链攻击

PyTorch 披露恶意依赖链攻陷事件

速修复!这个严重的 Apache Struts RCE 漏洞补丁不完整

Apache Cassandra 开源数据库软件修复高危RCE漏洞

美国国土安全部:Log4j 漏洞的影响将持续十年或更久

Apache Log4j任意代码执行漏洞安全风险通告第三次更新

PHP包管理器Composer组件 Packagist中存在漏洞,可导致软件供应链攻击

LofyGang 组织利用200个恶意NPM包投毒开源软件

软件和应用安全的六大金科玉律

美国政府发布关于“通过软件安全开发实践增强软件供应链安全”的备忘录(全文)

OpenSSF发布4份开源软件安全指南,涉及使用、开发、漏洞报告和包管理等环节

美国政府发布联邦机构软件安全法规要求,进一步提振IT供应链安全

美国软件供应链安全行动中的科技巨头们

Apache开源项目 Xalan-J 整数截断可导致任意代码执行

谷歌推出开源软件漏洞奖励计划,提振软件供应链安全

黑客攻陷Okta发动供应链攻击,影响130多家组织机构

Linux和谷歌联合推出安全开源奖励计划,最高奖励1万美元或更多

开源web应用中存在三个XSS漏洞,可导致系统遭攻陷

开源软件 LibreOffice 修复多个与宏、密码等相关的漏洞

Juniper Networks修复200多个第三方组件漏洞

美国国土安全部:Log4j 漏洞的影响将持续十年或更久

美国国土安全部:Log4j 漏洞的影响将持续十年或更久

PyPI 仓库中的恶意Python包将被盗AWS密钥发送至不安全的站点

开源项目 Parse Server 出现严重漏洞,影响苹果 Game Center

奇安信开源软件供应链安全技术应用方案获2022数博会“新技术”奖

更好的 DevSecOps,更安全的应用

他坦白:只是为了研究才劫持流行库的,你信吗?

热门PyPI 包 “ctx” 和 PHP库 “phpass” 长时间未更新遭劫持,用于窃取AWS密钥

从美行政令看软件供应链安全标准体系的构建

研究员发现针对 GitLab CI 管道的供应链攻击

五眼联盟:管理服务提供商遭受的供应链攻击不断增多

趁机买走热门包唯一维护人员的邮件域名,我差点发动npm 软件供应链攻击

RubyGems 包管理器中存在严重的 Gems 接管漏洞

美国商务部机构建议这样生成软件供应链 “身份证”

《软件供应商手册:SBOM的生成和提供》解读

和GitHub 打官司?热门包 SheetJS出走npmjs.com转向自有CDN

不满当免费劳力,NPM 热门库 “colors” 和 “faker” 的作者设无限循环

NPM流行包再起波澜:维护人员对俄罗斯用户发特定消息,谁来保证开源可信?

NPM逻辑缺陷可用于分发恶意包,触发供应链攻击

攻击者“完全自动化”发动NPM供应链攻击

200多个恶意NPM程序包针对Azure 开发人员,发动供应链攻击

哪些NPM仓库更易遭供应链攻击?研究员给出了预测指标

NPM 修复两个严重漏洞但无法确认是否已遭在野利用,可触发开源软件供应链攻击

热门NPM库 “coa” 和“rc” 接连遭劫持,影响全球的 React 管道

速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年

25个恶意JavaScript 库通过NPM官方包仓库分发

Pwn2Own大赛回顾:利用开源服务中的严重漏洞,攻陷西部数据My Cloud PR4100

开源网站内容管理系统Micorweber存在XSS漏洞

热门开源后端软件Parse Server中存在严重的 RCE ,CVSS评分10分

开源组件11年未更新,严重漏洞使数百万安卓按设备易遭远程监控

开源工具 PrivateBin 修复XSS 漏洞

奇安信开源组件安全治理解决方案——开源卫士

原文链接

https://www.darkreading.com/emerging-tech/appsec-looms-large-for-rsac-2023-innovation-sandbox-finalists

题图:Pixabay License

转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

56daece3c8cabf0953d890e9335e81e3.jpeg

647f0db9ea17db1173e9dd9653fb3bea.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   43f24851d755110def517bd9ed030555.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/47013.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【2020年高被引学者】 陶大程 悉尼大学

【2020年高被引学者】陶大程,悉尼大学教授,优必选人工智能首席科学家,人工智能和信息科学领域国际知名学者,澳大利亚尤里卡奖获得者,欧洲科学院外籍院士,IEEE/IAPR/OSA/SPIE等国际知名学会会士。 2020年发表…

找啊找啊找木偶,图灵奖得主G. Hinton第一篇论文曝光!

作者 | Geoffrey Hinton 译者 | 李倩 编辑 | 一一 出品 | AI科技大本营(ID:rgznai100) 摘要 针对在具有重叠结构的透明矩形中寻找木偶这一问题,Hinton大神想到使用松弛算法,通过从冲突局部解释网络中提取全局最佳图形的方式找木偶…

爱丁堡大学研究生计算机科学专业,爱丁堡大学计算机科学硕士专业

爱丁堡大学计算机科学硕士专业将为你提供设计、实施和运用计算系统的专业知识,包括单一处理器的组件以及与互联网同样庞大的计算机网络。通过爱丁堡大学计算机科学硕士专业,你将奠定专业理论的基础,并了解能运用于各种职业环境的实用技能。 爱…

【华人学者风采】魏云超 悉尼科技大学

【华人学者风采】魏云超,悉尼科技大学助理教授,ARC DECRA研究员。主要研究兴趣为深度学习及其在计算机视觉中的应用,包括图像分类,对象检测,语义分割等。曾于2016到2017年在新加坡国立大学作博士后研究员,与…

爱丁堡大学计算机专业alevel,爱丁堡大学各专业alevel要求简单介绍及入学条件

导读:不得不说,随着各方各面的条件的提升,中国人的家庭总体条件在不断变好。能够提供出国留学条件的智齿出国留学想法的家庭也在不断地增加。毕竟孩子出国学习。 不得不说,随着各方各面的条件的提升,中国人的家庭总体条…

【华人学者风采】Wenjing Lou 弗吉尼亚理工大学

【华人学者风采】Wenjing Lou,弗吉尼亚理工大学计算机科学系教授,IEEE Fellow。研究兴趣集中在网络信息系统中的隐私保护技术和无线网络中的跨层安全性增强方面。是ACM / IEEE网络事务,IEEE移动计算事务和计算机安全杂志的编委。同时担任IEEE…

清华、北大、上交大、哈工大、中山大学5位同学眼中的开源

如果没有开源,互联网的创新精神或许会大打折扣! “开源”现如今无处不在,学习计算机的你: 是否使用过OpenCV、Python扩展库及R语言? 是否接触过Linux和ROS,借鉴过GitHub中的代码和教程? 从我们使…

IT图书翻译——痛并快乐着

作者:韩磊 整理者:韦小琪 作者简介 韩磊是AR 技术公司亮风台的产研副总裁。在此之前,他曾在大学、技术媒体和财经媒体工作,有多年的企业经营管理、社区与媒体运营经验。他与人合著有《网络媒体教程》,合译有《Beginning C# Objec…

医学英文文献怎么找?

不是吧不是吧,作为医学生的你手上不会还没有几个压箱底的文献检索网站吧!搞科研没有趁手的工具可怎么能行! 目前,在医学类前沿的文章都是英文文献,这也就说明了我们平时阅读英文文献的必要性。不同于中文文献&#xff…

顺丰供应链联手亚马逊云科技,让供应链在数字化之路上“狂飙”

‍数据智能产业创新服务媒体 ——聚焦数智 改变商业 近年来,物流业实现高速发展。当下主流的世界级物流公司都会将供应链物流作为核心业务之一,而在中国许多物流公司仍采用传统的供应链管理方式,这种传统的供应链管理方式已经难以适应数字化…

T级DDoS攻击时代即将到来,关基系统抗D防护该如何展开?

随着物联网、工业互联网、车联网、5G网、云计算等新一代信息技术全面发展,大量IoT设备以及IDC服务因系统漏洞、配置错误等原因沦为肉鸡,使得攻击者可以利用非常少的成本,就能在短时间内制造出非常大规模的流量发动DDoS攻击,通过耗…

重磅!IDC、Forrester、Gartner等6大权威机构2023年数字化趋势预测集锦

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言一、 IDC FutureScape :2023年中国数字化业务十大预测二、 易观分析 :2023年中国企业数字化技术应用十大趋势三、 IDC FutureScape &…

(QT)软件安装与开发工具理解

一、Linux(Ubuntu)下安装QT 1.QT安装包选择:Index of /archive/qthttps://download.qt.io/archive/qt/ 2.使用mget 下载文件链接的方式下载QT安装包 wget http://download.qt.io/archive/qt/5.12/5.12.9/qt-opensource-linux-x64-5.12.9.…

adobe重装笔记

1.卸载 参照 https://blog.csdn.net/Klhz555/article/details/104842996 使用官方cleaner tool工具清理 删除C:\Program Files (x86)\Common Files\Adobe 文件夹【上文中部分文件找不到,干脆一整个删了,不知道会有什么影响:)】 删除C:\ProgramData\…

死磕数据库系列(二十五):MySQL 高可用之组复制(MGR)详解

点关注公众号,回复“1024”获取2TB学习资源! 前面给大家介绍过:MySQL 高可用方案选型解析,其中就提到了组复制(MGR),其实,组复制是一个 MySQL 服务器插件,可以创建具有弹…

Android System crash DeadSystemException(Service/Activity/终极解决方案)

DeadSystemException: The core Android system has died and is going through a runtime restart. All running apps will be promptly killed. Android 核心系统服务已经死亡,正在重启中。全部正在运行的app即将被kill杀死。 更多请阅读,D…

chatgpt赋能python:Python实现网络断开:如何使用Python断开网络连接

Python实现网络断开:如何使用Python断开网络连接 在某些情况下,我们需要暂时断开网络连接。这可能是因为我们需要测试某种网络应用程序或进行网络安全探索,或者需要限制孩子上网时间。在这些情况下,Python提供了一种断开网络连接…

libpaho-mqtt c 库使用注意事项

mqtt断线重连: 需要在连接的时候设置三个参数. 重连间隔单位为秒。 在例程里 MQTTAsync client; MQTTAsync_connectOptions conn_opts MQTTAsync_connectOptions_initializer; MQTTAsync_message pubmsg MQTTAsync_message_initializer; MQTTAsync_token to…

“大模型重塑时空产业,繁荣智能孪生世界”行业发展论坛成功举办

由中国地理信息产业协会时空信息智能云服务工作委员会主办、土豆数据科技集团承办、四川省地理信息产业协会和成都市勘察测绘研究院支持筹办,主题为“大模型重塑时空产业,繁荣智能孪生世界”的行业发展论坛,近日在成都成功举办。 “大模型重…

System.Net.Mail发送邮件失败所在

/**/ /// <summary> /// 注册时发送用户帐号跟密码 /// </summary> /// <param name"receiver">用户注册邮箱</param> /// <param name"username">用户名</param> /// <param name"password&q…