供应链安全

距离 SolarWinds 供应链安全事件发生了四年，供应链安全问题能否有效解决？总的来说局势并不是很乐观。

为了保障ICT供应链安全，国家市场监督管理总局和中国国家标准化管理委员会发布了GB/T36637-2018《信息安全技术ICT供应链安全风险管理指南》(以下简称《指南》)，来规范关键信息基础设施和重要信息系统供应链安全风险管理。

软件供应链安全是2024年网络安全领域的重点议题之一，因为近年来SolarWinds、Log4j2、微软、Okta、npm等一系列软件供应链攻击已经为业界敲响了警钟。利用文件传输服务（MFT）漏洞的勒索软件攻击更是给数以千计的企业造成重大损失。

TCG本周宣布成立一个专注于供应链安全的新工作组。微软、英特尔和高盛的代表将牵头创建这个新小组，该小组将致力于制定供应链安全标准指南 2021-10-21 12:19:12 TCG供应链安全攻击 前途无量的量子计算如何影响安全 虽然彻底改革安全协议为量子计算做准备可能还为时过早，另外目前还没有后量子（post-quantum）加密标准。后量子密码是能够抵抗量子计算机对现有密码算法攻击的 新一代密码算法。 2021-10-21 11:52:58 后量子量子计算安全 针对美国军事防务机构进行Office 365间谍攻击 微软在2021年7月底开始追踪这些攻击活动，并在发布的一份警报中详细介绍了这些攻击手法，并补充说，该罪犯似乎一直在从事网络间谍活动，同时该组织与伊朗有联系，并且网络攻击者正在对Office 365账户进行大面积的密码喷洒攻击。 2021-10-21 11:50:35 美国间谍攻击Office IDC报告：亚信安全身份和数字信任连续五年蝉联第一，终端安全持续领跑 近日，IDC《2021年上半年中国IT安全软件市场跟踪报告》重磅发布。亚信安全凭借全面的技术能力以及核心竞争力，在终端安全软件、身份和数字信任软件市场再获认可。

谷歌宣布开源OSV-Scanner，该开源漏洞扫描仪可访问各种项目的漏洞信息，加强软件供应链安全。

该指南内容总共有40页，主要提及了软件供应商在供应链中所需要承担的责任和改进方法。

正如供应链安全公司ReversingLabs的研究人员所发现的那样，这一行动(被称为IconBurst)背后的威胁行为者针对一些开发者使用URL劫持，如gumbrellajs和ionic.io NPM模块。

2021 年全球供应链攻击同比增长了 650%。

越来越多的企业正在使用分析来增强其安全性。他们还使用数据分析工具来帮助简化物流流程，并确保供应链更有效地运作。这些企业意识到，分析对于帮助提高供应链系统的安全性是无价的。

6月2日，在奇安信集团举办的软件供应链安全专题研讨会上，奇安信集团解决方案中心宣布推出面向软件供应链安全的整体解决方案，助力企业加强供应链安全建设。