OSCS开源安全周报第22期 NuGet 仓库中被发现 13.5 万个包含钓鱼地址的组件包

11月以来信息通信软件供应链安全社区开展了“软件供应链优秀成果案例”征集评审活动，在 12 月 16 日的结果公示中，墨菲安全软件供应链安全管理平台本次成功入选自主研发创新成果。这是对墨菲安全长期专注在软件供应链安全领域的成果认可，我们也将加强行业技术交流分享，持续推出优秀产品和实践成果，助力我国软件供应链安全治理水平的高质量发展。

墨菲安全软件供应链安全管理平台

墨菲供应链安全系列产品是通过多维度的资产扫描，深度识别资产中使用的外部依赖，结合全、准、快的风险知识库，准确识别漏洞风险和开源许可证风险，并提供专业、便捷的风险修复方案，帮助企业高效的治理供应链安全风险。

在整体解决方案方面，墨菲安全会帮助客户建立一整套软件供应链安全治理框架，从管理体系和控制体系帮助客户至上而下建立软件供应链安全体系，解决开源组件、开源软件和闭源软件的安全风险。

事前：主要以预防为主，在引入组件和编写代码时对组件和代码进行卡位和检测。

事中：主要以处置为主，在编译、部署阶段对项目进行扫描，并通过卡位方式防止项目携带风险上线。

事后：主要以应急为主，针对已上线项目进行风险预警，发现风险软件及时止损。

为完成控制体系，墨菲安全提供各类基础技术能力的支撑，包括：私有源管理、资产盘点、漏洞检测、漏洞修复等等。

关于墨菲安全

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，核心团队来自百度、华为、乌云等企业，公司为客户提供完整的软件供应链安全管理平台，围绕SBOM提供软件全生命周期的安全管理，平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。为客户提供从供应链资产识别管理、风险检测、安全控制、一键修复的完整控制能力。同时产品可以极低成本的和现有开发流程中的各种工具一键打通，包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。

> 微信公众号搜索“墨菲安全”，关注我们/申请试用➕