企业官网建设流程全解析

网上做家教的网站,网站建设预算费用,定制做网站技术,手机界面设计网站聚焦源代码安全#xff0c;网罗国内外最新资讯#xff01; 编译#xff1a;代码卫士 专栏供应链安全 数字化时代#xff0c;软件无处不在。软件如同社会中的“虚拟人”#xff0c;已经成为支撑社会正常运转的最基本元素之一#xff0c;软件的安全性问题也正在成为当今社…聚焦源代码安全网罗国内外最新资讯编译代码卫士专栏·供应链安全数字化时代软件无处不在。软件如同社会中的“虚拟人”已经成为支撑社会正常运转的最基本元素之一软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展软件供应链也越发复杂多元复杂的软件供应链会引入一系列的安全问题导致信息系统的整体安全防护难度越来越大。近年来针对软件供应链的安全攻击事件一直呈快速增长态势造成的危害也越来越严重。为此我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯分析供应链安全风险提供缓解建议为供应链安全保驾护航。注以往发布的部分供应链安全相关内容请见文末“推荐阅读”部分。安全公司 Koi 指出JavaScript 生态系统的领先包管理器 NPM、PNPM、NLT和Bun中存在六个漏洞可用于绕过供应链攻击防护措施。这些漏洞被统称为 “PackageGate”可导致隐藏在受攻击者控制的依赖中的恶意代码被执行。自影响巨大的 NPM 供应链攻击如 Shai-Hulud 和 PhantomRaven 发生后组织机构和开发人员等都广泛采取两种防御机制阻止包安装时自动执行代码以及确保软件包的完整性。Koi 公司解释称第一个防护机制是通过设置一个配置项来禁止在安装程序包时运行预安装、安装和安装后脚本。第二种机制会记录每个包在依赖树中的版本、完整性哈希值以及在后续安装时根据这些哈希值检查所有软件包。Koi 公司提到影响这四个包管理器的六个漏洞可绕过这些防护措施导致完全的远程代码执行后果。然而对于每个管理器而言攻击技术各不相同。在NPM中含有恶意 .npmrc 文件的 Git 依赖可用于RCE。在PNPM中默认禁用脚本的防护措施仅适用于构建阶段不适用于 Git 依赖处理过程。在VLT中tarball 提取操作中的路径遍历可导致在系统上进行任意文件写而位于 Bun 中的脚本执行白名单仅适用于包名称而不适用于来源导致攻击者可伪造包实现RCE。另外研究人员发现 PNPM 和 VLT 仅存储 tarball 依赖项的URL而未记录完整的哈希值。因此在初始安装过程中通过安全检查的 tarball 可被修改从而在后续安装过程中投送恶意代码。研究人员提到“将包插入依赖树即使嵌套多层可根据时间、IP地址或他们所想要的任何其它信号来推送目标 payload。”研究人员已将这些漏洞报送给所有的这四家包管理器。PNPM、VLT和Bun 在几周内予以修复其中PNPM为这些漏洞分配的编号是CVE-2025-69263和CVE-2025-69264。研究人员表示NPM 将报告标记为“仅提供参考信息”称相关功能按设计预期运行。研究人员提到与该安全问题相关的风险真实存在威胁人员已开始讨论滥用恶意 .npmrc 文件编写 PoC 代码。NPM的母公司 GitHub 提到通过 Git 为所安装包安装依赖是预期设计用户在安装 Git 依赖时即意味着信任该仓库的全部内容。GitHub 表示“我们正在积极着手修复所报送的这个新问题因为NPM正在积极扫描该注册表中的恶意软件。NPM生态系统的安全性需要共同努力我们强烈鼓励各项目采用可信的发布和精细化访问令牌并执行双因素认证机制来巩固软件供应链的安全。GitHub 将继续加大对增强 NPM 安全性的投入近期已实施认证和令牌管理的多项改进措施。”开源卫士试用地址https://sast.qianxin.com/#/login代码卫士试用地址https://codesafe.qianxin.com推荐阅读开源自托管平台 Coolify 修复11个严重漏洞可导致服务器遭完全攻陷得不到就毁掉第二轮Sha1-Hulud供应链攻击已发起影响2.5万仓库vLLM 高危漏洞可导致RCE开源AI框架 Ray 的0day已用于攻陷服务器和劫持资源热门 React Native NPM 包中存在严重漏洞开发人员易受攻击10个npm包被指窃取 Windows、macOS 和 Linux 系统上的开发者凭据热门 React Native NPM 包中存在严重漏洞开发人员易受攻击热门NPM库 “coa” 和“rc” 接连遭劫持影响全球的 React 管道开发人员注意VSCode 应用市场易被滥用于托管恶意扩展GitHub Copilot 严重漏洞可导致私有仓库源代码被盗受 Salesforce 供应链攻击影响全球汽车巨头 Stellantis 数据遭泄露捷豹路虎数据遭泄露生产仍未恢复幕后黑手或与 Salesforce-Salesloft 供应链攻击有关十几家安全大厂信息遭泄露谁是 Salesforce-Salesloft 供应链攻击的下一个受害者第三方集成应用 Drift OAuth 令牌被用于攻陷 Salesforce 实例全球700家企业受影响黑客发动史上规模最大的 NPM 供应链攻击影响全球10%的云环境十几家安全大厂信息遭泄露谁是 Salesforce-Salesloft 供应链攻击的下一个受害者第三方集成应用 Drift OAuth 令牌被用于攻陷 Salesforce 实例全球700家企业受影响AI供应链易遭“模型命名空间复用”攻击Frostbyte10威胁全球供应链的10个严重漏洞PyPI拦截1800个过期域名邮件防御供应链攻击PyPI恶意包利用依赖引入恶意行为发动软件供应链攻击黑客利用虚假 PyPI 站点钓鱼攻击Python 开发人员700多个恶意误植域名库盯上RubyGems 仓库NPM “意外” 删除 Stylus 合法包 全球流水线和构建被迫中断固件开发和更新缺陷导致漏洞多年难修供应链安全深受其害NPM仓库被植入67个恶意包传播恶意软件在线阅读版《2025中国软件供应链安全分析报告》全文NPM软件供应链攻击传播恶意软件隐秘的 npm 供应链攻击误植域名导致RCE和数据破坏NPM恶意包利用Unicode 隐写术躲避检测Aikido在npm热门包 rand-user-agent 中发现恶意代码密币Ripple 的NPM 包 xrpl.js 被安装后门窃取私钥触发供应链攻击原文链接https://www.securityweek.com/packagegate-flaws-open-javascript-ecosystem-to-supply-chain-attacks/本文由奇安信编译不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。奇安信代码卫士 (codesafe)国内首个专注于软件开发安全的产品线。觉得不错就点个 “在看” 或 赞” 吧~