章华鹏 2025-02-17 09:35 北京
近期三大软件供应链安全问题剖析
写在前面
前几天我一直在预告2.18号,也就是本周二晚19:30,我会在我的视频号(白帽子章华鹏)带来一档全新的直播节目《软件供应链安全问题与解》,顾名思义,主要是聊企业所面临的软件供应链安全威胁以及解法。那么每一期主要是聚集近期全球范围内发生的一些热门的软件供应链安全攻击事件,以及近期企业正在实施的一些软件供应链安全解决方案及最佳实践,主要面向负责企业安全建设相关的从业者。
近期软件供应链三大威胁场景
我们对近期(大概近三个月吧)全球范围内发生的软件供应链安全事件进行了一些总结和分析,我们发现被提的次数最多的主要是三大类的风险:
1)商业软件供应链攻击:商业软件开发过程不透明,开发商安全水平有限,加上过去企业对商业软件的安全缺乏强制的要求,导致今天商业采购的软件已经成为企业安全木桶的最短板。
2)开源组件的投毒攻击:从近期大量曝光的安全事件分析可以发现,开源组件的投毒攻击是目前黑灰产最常用的攻击手段,尤其是针对虚拟货币交易所,愈演愈烈,大概率是黑灰产尝到了开展这一类攻击的甜头,从我们实际的经验来看,针对开源组件的投毒攻击,对于所有企业来说,成功率要远远高于企业安全专家们的预期,实际上非常容易成功的。
3)针对AI的软件供应链攻击:随着DeepSeek这一波爆火,关于AI的软件供应链攻击的讨论声音也越来越多,当然之前也出现过不少案例,我想随着DeepSeek的开源模式被验证之后,开源大模型的生态会越来越繁荣,在这样的背景下,针对大模型&AI的软件供应链攻击一定会越来越多样化。
关于直播内容
2.18号,《软件供应链安全问题与解》直播节目会围绕以上三大软件供应链威胁场景:
1)首先深入剖析一些近期实际发生的典型案例
2)然后结合这些案例分享企业应该如何进行安全建设和治理
3)最后会给出一些常见的治理工具/产品和国内外相关的一些法律法规。
通过这三部分内容,把软件供应链安全相关问题和解法都深入进行交流和探讨。
此外,我们仍然非常希望大家在直播的过程中与我们交流任何与软件供应链安全相关的话题,当然你也可以提前把你关心的一些问题通过留言或者群里反馈的方式发给我。
加入群聊讨论(一些素材和案例会发在群里):
