Everything you care about in one place
Follow feeds: blogs, news, RSS and more. An effortless way to read and digest content of your choice.
Get Feederwechat2rss.xlab.app
墨菲安全
Get the latest updates from 墨菲安全 directly as they happen.
Follow now 19 followers
Latest posts
Last updated 23 days ago
理性看CVE项目是否会停摆,一起积极应对
24 days ago
2025-04-16 23:01 北京 从目前来看,CVE的更新预计不会受到实质性的影响 4月15日,MITRE向CVE委员会发送了一封邮件,告知美国政府对CVE/CWE项目的资助合同将于4月16日到期。受此影响,CVE漏洞可能更新受到影响,并影响NVD等下游的漏洞库。但是根据我们的分析和判断:从目前来看,CVE的更新预计不会受到实质性的影响。CVE项目始于1999年,由美国国土安全部(DHS)和网络基础设施安全局(CISA)的赞助,MITRE负责运营,NVD(美国国家漏洞库)等下游漏洞库基于CVE的数据进一步加工分析。在过去的二十多年里,CVE是对通用漏洞标识的标准,是漏洞情报共享、漏洞库、各类安全工具的重要基础数据,这是一项非常有意义的伟大工作。CVE会停摆吗从目前来看,CVE的更新应该不会受到实质性的影响。CVE受益者众多,各方都会想办法延续这一重要的基础设施,并且已经有了一些实际的动作。CISA已延长合同期限根据Cynthia Brumfield在bsky平台上的发言(https://bsky.app/profile/metacurity.com/post/3lmwjbndmd22s)来看,CISA已经延长了对MITRE的项目合同,CVE项目并不会在4月16日就终止。CVE基金会成立在16日,由Kent Landfield等CVE委员会成员宣布为应对政府对该项目的资金,成立CVE基金会,助力CVE项目持久、独立发展,并将在接下来几天公布后续的基金会发展计划。在公告中提到「作为回应,一群长期活跃的 CVE 委员会成员已经花费过去一年时间制定策略,将 CVE 过渡到一个专门的、非盈利的基金会。新的 CVE...
总结过去三年软件供应链安全一些非共识核心问题
about 2 months ago
章华鹏 2025-03-19 15:04 北京 软件供应链安全最被关心的20个问题 写在前面过去三年,我大概每年平均至少见300个企业的专家和大佬们,这三年下来也快1000人次了吧。虽然有一些人是重复见了很多次的,但每次见也多少会有新的收获。因为工作的原因,我们聊最多的话题其实是跟软件供应链安全相关的,所以我最近就特别想把过去我们这1000次交流过程中,聊到的最核心的问题都提炼出来,然后在今年的产品迭代、公众号、直播、闭门会议、对外技术交流分享中,把这些内容重点放进去。也是希望通过这样的方式,给所有准备做,或者正在做企业软件供应链安全的专家和大佬朋友们一些输入。一方面可以把过去我们交流和讨论这些问题的一些成果分享给大家,让大家可以在思考和实践的过程中少踩坑。同时我们可以就这些重点问题,结合各个企业的实际场景,进行更多更深入的讨论。让一些其他正在碰到/还没有碰到这些问题的朋友也能受益。以上,就是今天这篇文章的想法和初衷。我想这是一个长期的工作,后面我会把它整理成一个系列,这是第一篇。我可能更多的是抛出一些最关键的、被提及最多的问题,这些问题通常是非共识的。之后我会不定期的通过不同的方式分享,最近一次就是在3月26日晚19:00的线上闭门会,会有京东、小米、理想、字节、某股份制银行、某头部券商、某头部运营商等企业安全大佬,一起专场讨论这些软件供应链安全的核心问题,也欢迎企业安全的各位专家和老师报名参加讨论或者旁听,这场闭门会上,我们也会提前分享我们之后要开源的一些工具和内容,文末有线上沙龙报名链接,名额有限,先到先得(请注意本次沙龙主要面向企业安全从业者)。软件供应链安全最被关心的20个问题以下是我和我所有同事们一起总结出来的,被企业问到最多的20个非共识问题,我先把它们列举出来。出于篇幅的原因,本文我将先聊聊对于前10个问题的简明扼要的看法。关于全部20个问题的解答,会首先在3月26日的闭门会上详细讨论,之后找时间我会汇总发出。如果你们企业最近准备/已经开展软件供应链安全治理工作,不妨再好好梳理一下这20个关键问题,我相信对于你们开展这项工作治理一定会有一些帮助。▸ 1)软件供应链安全太大了,到底什么是软件供应链安全?▸ 2)软件供应链安全有哪些威胁场景?▸ 3)如何向企业的管理者说清楚软件供应链安全的价值?▸ 4)同行业企业软件供应链安全项目是怎么立的?▸ 5)同行业企业是怎么落地的?效果和价值咋样?▸ 6)软件成分分析工具识别出来的漏洞太多了?大家怎么处理?▸...
软件供应链安全行业大佬闭门交流会
2 months ago
2025-03-05 16:37 北京 限时开放全套产品免费试用 & CEO 1V1护航 | 仅30席 写在前面软件供应链安全威胁,作为近些年网络勒索/资金窃取/网络攻击等黑灰产最常用的攻击手段之一,目前已成为各大企业最关心的问题。但是企业软件供应链安全的治理和落地,本身也存在很多挑战,整个行业也在摸索怎么落地。一直以来很多企业的安全负责人,和专家大佬朋友,都在问我们,能不能组织有经验的大佬们,来一起交流交流。所以这场闭门交流沙龙就来了。过去三年,墨菲安全和各个行业的一批企业,在软件供应链安全治理方面,积累了一些实践经验。本场沙龙我们将邀请多位行业头部企业大佬,以及墨菲安全三位创始人,和大家一起深入交流和探讨,关于企业软件供应链安全的实践经验和踩过的坑。如果您:1.是对软件供应链安全感兴趣???企业安全负责人/应用安全专家;2.是正在准备在企业内调研/立项做软件供应链安全;3.是正在探索企业安全建设新方向;那您不妨深入了解一下软件供应链安全,欢迎大家报名参加。一、核心议程抢鲜看▸ 软件供应链安全边界如何划定?▸ 如何快速评估软件供应链安全对于自己企业的价值?判断投入必要性?▸...
墨菲安全入驻区块链与数据安全研究院,携手浙大国家重点实验室筑行业新未来
3 months ago
2025-02-10 14:06 北京 墨菲安全入驻区块链与数据安全研究院 最近,有朋友发现区块链与数据安全研究院的公众号发布了关于墨菲安全获得pre-A轮融资的报道《喜讯!研究院引进企业墨菲安全获数千万pre-A轮融资》,提到了双方的合作。没错,我们要官宣啦!2024年10月,墨菲安全受邀正式入驻杭州高新区(滨江)区块链与数据安全研究院,开启与国内顶尖科研力量的深度合作!此次合作不仅是墨菲安全技术实力的重要体现,更是我们在软件供应链安全与数据安全领域迈出的战略性一步。强强联手,共筑数据安全新高地杭州高新区(滨江)区块链与数据安全研究院是由浙江大学区块链与数据安全全国重点实验室与地方政府共建的唯一基地,由中国工程院陈纯院士领衔。研究院聚焦国家数据安全战略需求,致力于区块链技术的自主可控、监管充分和内生安全等关键目标,开展前沿技术科研攻关与产业孵化,是国内区块链与数据安全领域的权威科研平台。墨菲安全作为软件供应链安全领域的领先企业,此次入驻研究院,将与研究院及浙江大学国家重点实验室展开深度合作,共同探索软件供应链安全与数据安全领域的前沿技术,推动科研成果的转化与应用。技术创新,赋能软件供应链安全本次合作中,墨菲安全将依托研究院强大的科研能力,重点围绕软件供应链安全威胁的识别与自动化修复等核心问题,开展创新技术研究。通过将研究成果应用于墨菲安全的系列产品中,我们将为用户提供更智能、更高效的安全解决方案,帮助用户快速识别并修复软件供应链中的安全威胁,全面提升安全防护能力。我们相信,通过与顶尖科研力量的携手,墨菲安全不仅将推动产品的技术升级,还将在软件供应链安全领域实现更多突破,为用户带来更优质的安全体验。未来展望:科技赋能,安全护航墨菲安全与研究院的合作,标志着我们在技术研发与产业应用方面迈出了重要一步。未来,我们将继续深耕软件供应链安全与数据安全领域,推动更多创新技术的落地应用,为用户提供更可靠的安全保障,助力国家数据安全战略的实施。科技赋能,安全护航。墨菲安全将以此次合作为契机,持续提升技术实力,与行业伙伴共同构建更加安全、可信的软件生态,为数字化时代的安全发展贡献力量! 阅读原文 跳转微信打开
程序员注意!PyPI惊现DeepSeek高仿投毒包!
3 months ago
章华鹏 2025-02-05 18:41 北京 程序员注意!PyPI惊现DeepSeek高仿投毒包! 2025年1月29号,一位用户名为bvk的用户,在Python PyPI开源组件中央仓库中发布了两个组件:DeepSeeek和DeepSeekai。根据墨菲安全实验室的分析,这两个组件包是属于明显的投毒组件。用户一旦安装后,攻击者会窃取用户服务器上的环境变量等信息,通常会涉及一些ak/sk等用于API认证的敏感数据,可能导致用户的数据泄露。目前PyPI官方已火速下架这两个组件,但已经被开发者下载了222次,建议企业排查。详情可看视频 ⬇️⬇️ 阅读原文 跳转微信打开
美国CISA报告称Contec病人监护仪存在后门
3 months ago
原创 墨菲安全 2025-02-02 20:57 北京 美国CISA报告称Contec CMS8000病人监护仪存在软件供应链后门 2025年1月30日,美国网络安全和基础设施安全局(CISA)和食品药品监督管理局(FDA)联合发布警报(文末有pdf报告地址),Contec CMS8000患者监护仪存在后门,并发布了详细的分析报告,从报告表述来看,这是一个非常典型的软件供应链安全问题。目前该“后门”相关漏洞已分配两个CVE编号(CVE-20250626、CVE-2025-0683),报告指出该后门允许一个硬编码的公网IP可以执行任意的命令以达到随意控制这款医疗设备的目的,包括执行任意系统命令和获取患者的敏感数据。值得注意的是该报告指出Contec CMS8000的生产商是总部在中国的企业,至于是哪家企业,大家可自行检索。从互联网检索来看,该款医疗设备在用的医疗机构还不少。建议大家关注自己是否使用了该型号设备,自行联系厂商排查风险。我用deepseek对这份英文报告进行了简单的解读,本质上就是该款医疗设备会从一个公网IP地址的NFS服务器上拉取文件到设备上进行执行,如果拉取的文件中存在恶意的代码逻辑,那么就可以达到远程控制该设备和获取敏感数据的目的。报告指出,Contec分别于2024年11月9日、2024年12月17日给CISA发了两个补丁文件,第二次的补丁版本号为2.0.8。但是这两个补丁并没有解决这个后门问题。建议国内所有使用Contec CMS8000的医疗机构排除是否存在此类风险,并尽快联系厂商处置。最后墨菲安全是国内领先的软件供应链安全厂商,我们可以支持对医疗器械的固件及代码进行软件供应链安全漏洞及后门检测分析及快速修复。如果你是医疗器械厂商,我们可以为您提供专业的安全解决方案,避免此类的安全问题发生,如果您是医疗机构,我们可以帮助您对您采购的医疗器械进行安全类的审查,避免采购到存在安全风险的医疗设备。参考链接:https://www.cisa.gov/sites/default/files/2025-01/fact-sheet-contec-cms8000-contains-a-backdoor-508c.pdfhttps://www.fda.gov/medical-devices/safety-communications/cybersecurity-vulnerabilities-certain-patient-monitors-contec-and-epsimed-fda-safety-communication 阅读原文...
DeepSeek因软件供应链安全问题导致严重聊天记录数据泄漏
3 months ago
2025-01-30 14:18 陕西 这是非常典型的云上软件供应链安全漏洞导致的严重数据泄漏风险 阅读原文 跳转微信打开
36氪广东首发 | 以供应链视角推动企业软件安全架构升级,「墨菲安全」获数千万pre-A轮融资
4 months ago
36氪广东 2025-01-20 11:33 北京 36氪广东就墨菲安全融资一事,对墨菲安全创始人&CEO章华鹏进行采访报道 本轮融资金额计划用于市场拓展及人工智能技术研究。36氪广东获悉,近日,专注于软件供应链安全领域的技术创新公司——墨菲未来科技(北京)有限公司(下称「墨菲安全」)完成数千万元pre-A轮融资,投资方为恒生电子、复琢资本,由航行资本担任独家财务顾问。本轮融资金额计划用于市场拓展及人工智能技术研究。「墨菲安全」2020年完成核心团队组建,聚集来自百度、华为,超十年企业安全建设经验的相关成员,围绕企业软件安全风险导致的漏洞攻击、勒索事件、数据泄露、投毒后门及开源许可证合规等相关痛点问题,研发了一系列创新的软件供应链安全产品及服务,致力于帮助企业客户实现“精准识别真漏洞、分钟级快速修复”。其于2021年完成数千万元天使轮融资,在2023年获“国家高新技术企业”认定。“我们在实践中发现,随着企业数字化程度提升,软件规模扩大,软件安全漏洞导致的数据泄露和勒索事件增多。”谈及为何选择创立「墨菲安全」,创始人章华鹏指出,软件供应链安全赛道是网络安全市场的结构性机会,因为企业数字化升级以及对生产效率要求提高,促使软件供应链引入规模快速增大,相对应的供应链软件漏洞攻击风险显著提高,而市场缺乏成熟应对的产品与解决方案。根据中国信通院调研结果显示,超过73%的企业关注开源治理体系建设。同时,据云计算开源产业联盟发布的《软件供应链安全发展洞察报告(2024)》,企业及政府等组织以安全为切入点进行软件供应链治理,软件供应链安全市场快速增长。2023年,中国软件供应链安全市场规模达到2.23亿美元,预计2029年将达到10.59亿美元,年复合增长率(CAGR)为29.6%。事实上,不少企业在做开源风险治理时会遇到开源组件管控难、供应链资产依赖庞杂,依赖数量庞大、漏洞修复非常困难、应急响应难等痛点。顺应市场发展趋势以及市场痛点,「墨菲安全」以供应链视角重新定义企业软件安全,为企业客户提供软件应用安全全生命周期的供应链安全解决方案,其中,围绕软件安全漏洞和合规风险,推出源安全网关、软件成分分析(SCA)、漏洞及投毒情报、软件资产及风险管理平台等产品,未来还将针对不同场景推出更多产品。简单而言,「墨菲安全」为需求方(头部企业)提供软件应用全生命周期风险管理、为供应方(软件厂商)解决软件生产交付中的安全风险,提升其竞争力。“软件供应链安全赛道发展迅速,吸引众多玩家进入,但尚未成熟和拥挤。对于公司的挑战,在于能否精准结合客户痛点定义产品,实现PMF(产品市场匹配),帮助客户解决过去一直没有被很好解决的软件安全风险的修复问题,打通软件安全治理的最后一公里”。据了解,「墨菲安全」核心特点是拥有超过十年的大型企业安全建设实践经验和行业顶尖的软件安全漏洞研究经验,同时具备这两项核心能力的团队非常少见,目前墨菲安全产品主要具备四大核心能力,一是高准识别软件中依赖的软件供应链成分,二是基于可达性分析实现95%无效漏洞过滤,三是线上应用0day漏洞及投毒组件实时预警,四是针对企业软件应用漏洞实现快速修复,处置效率提升20倍;而这些核心产品能力都依赖于墨菲安全自主研发和运营的的行业领先软件供应链风险知识库SRKB(Software supply chain security Risk Knowledge Base)。章华鹏表示,「墨菲安全」的软件供应链风险知识库SRKB是来自于核心团队在大型企业及大型安全社区超过十五年的软件安全研究经验积累,再加上墨菲安全过去几年服务客户过程中的大量真实反馈,快速迭代和进化而来。近两年随着大模型技术的快速发展,墨菲安全很早就将AI技术应用于知识库的生产过程,极大地提升了漏洞知识库的生产效率,这也使得该知识库在整个行业内持续保持领先,目前该知识库已经覆盖了40W+的漏洞,其中每个漏洞都是经过墨菲安全实验室的专家团队校准,并且有超过25个独家的数据字段,这些数据字段正是构建墨菲安全产品核心能力的基础。未来,墨菲安全将进一步结合AI技术加大在软件供应链风险知识库上的研究,并深耕企业用户场景,为用户提供实用、靠谱的产品及服务,帮助客户精准识别真漏洞,实现漏洞的快速修复闭环。目前,「墨菲安全」标杆客户包括运营商、金融、泛互联网、智能制造、能源/央企、软件供应商,如字节跳动、中国银行、蚂蚁集团、中国电信、天翼云、国家电网、理想汽车等。“公司在2024年实现盈利,过去几年业绩增速超300%,未来仍将保持较高增速。”据了解,在企业经营上,「墨菲安全」订阅金额复购率156%,同时在客户的复购率数据上表现非常亮眼。“目前聚焦互联网、金融、运营商、能源、智能制造等行业,本轮融资后,在现有行业基础上向全国市场拓展。并在未来3-5年内探索出海业务可能性。...
直播倒计时2天:在企业做安全和对外做安全产品有什么差异?
4 months ago
2025-01-19 17:06 北京 1月21日,《三个白帽聊安全》过来人聊经验感受,干货满满等你来! 阅读原文 跳转微信打开
直播倒计时2天:在企业???安全和对外做安全产品有什么差异?
4 months ago
2025-01-19 17:06 北京 1月21日,《三个白帽聊安全》过来人聊经验感受,干货满满等你来! 阅读原文 跳转微信打开
直播倒计时4天:聊聊从“打黑工”到大厂安全负责人的那些事儿
4 months ago
2025-01-17 14:51 北京 12月26日,《三个白帽聊安全》直播吃瓜,携好礼等你来! 阅读原文 跳转微信打开
今晚开播:墨菲安全创业三年的十个关键时刻之「联合创始人突然要离职」
4 months ago
2024-12-26 15:49 北京 今晚《三个白帽聊安全》直播间,满满爆料,吃瓜群众已就位! 阅读原文 跳转微信打开