Rhysida勒索軟件破解，免費解密工具發布

根據SecurityScorecard發布的《全球第三方網絡安全漏洞報告》顯示，2023年大約29%的違規行為可歸因于第三方攻擊媒介，因為許多違規行為的報告沒有指定攻擊媒介，所以實際比例可能要更高。MOVEit、CitrixBleed和Proself是2023年的軟件供應鏈方面三個最廣泛利用的漏洞，其中MOVEit零日漏洞產生廣泛影響可能被歸咎于第三方、第四方甚至第五方。

近日，以色列網絡安全公司Seal Security宣布獲得由Vertex Ventures Israel領投的740萬美元種子輪融資，Seal歸屬軟件供應鏈安全賽道，其研發的平臺產品主要利用生成式AI為客戶提供自動化的修復解決方案，其平均修復時間可從過去幾個月縮短到現在的幾個小時，足以以應對軟件供應鏈這一日益嚴峻的挑戰。

通過在開源軟件包中插入惡意代碼來迅速將惡意軟件傳播到整個軟件供應鏈中是惡意分子常用的攻擊手段。然而，最新的研究發現，如果用戶等待大約14天后再將這些軟件包更新到最新版本，就可以避免受到軟件包劫持攻擊的不良影響。

軟件組成分析（SCA）應用程序安全測試(AST)工具市場的一個細分市場，負責管理開源組件的使用。SCA工具自動掃描應用程序的代碼庫，包括容器和注冊表等相關構件，以識別所有開源組件、它們的許可證遵從性數據和任何安全漏洞。除了提供對開源使用的可見性之外，一些SCA工具還通過區分優先級和自動補救來幫助修復開源漏洞。SCA工具通常從掃描開始，生成產品中所有開源組件的清單報告，包括所有直接和傳遞依賴項。擁有

k++)//因為這里異或是從數據的高位開始，所以需要計算的數據左移8位，這里就需要計算8次。1)//判斷最高位是否為1. 0xEDB88320;//最高位為1，右移一位，然后與0xEDB88320異或???相當于例子2中110與000異或值是不變的

基于各方在自身領域的專業積累，將此次調研工作進行了明確的分工，并將不定期進行調研分享交流會。

各類攻防演練的結果證明，軟件供應鏈攻擊已成為投入低、見效快、易突破的有效方式。總體思路與原則：合規是底線，管理是準則，制度是要求，技術是支撐，服務是保障，流程是協作。安全管理制度的建立，能夠規范軟件供應鏈涉及的內部、外部角色的行為，同時提供制度性保障。其次，針對軟件開發各階段與存在的風險，引入對應的安全能力，提供技術支撐，確保安全質量。

新推出的開放框架尋求為公司和安全團隊提供全面且可行的方式深入了解軟件供應鏈攻擊行為及技術。這項名為開放軟件供應鏈攻擊參考（OSC&R）的計劃由以色列軟件物料安全管理公司OX Security主導，評估軟件供應鏈安全威脅，覆蓋一系列攻擊途徑，比如第三方庫和組件漏洞、構建及開發系統供應鏈攻擊，以及被黑或惡意軟件更新包。

當下，軟件開發安全的理念很火，各行各業都已認識到保障應用系統開發安全的重要性，但是要真正實現起來，結果卻不是那么理想。

理論基礎漏洞可以定義為“在軟件和硬件組件中發現的計算邏輯（例如代碼）中的弱點，當被利用時，會對機密性，完整性