Broadcom宣布对Spring和Java生态系统进行重大安全投入,发布了Spring历史上规模最大的安全更新,并将清洁室构建架构扩展至整个Spring生态的Java依赖项。该公司还利用AI工具大规模识别漏洞、评估修复路径。企业客户可通过Spring Enterprise Repository抢先获取零日CVE补丁。分析师对此总体持正面态度,但对将零日补丁限于付费客户的做法表示批评。
软件供应链攻击日益频繁,2022年影响超过1000万人和1700多家机构。现代应用程序越来越依赖预构建框架和库,增加了安全风险。攻击者利用开源组件和第三方集成的漏洞进行渗透。CTO需要采用软件物料清单、软件成分分析、静态应用安全测试等工具,结合威胁建模和风险评估,构建主动防御策略,在不牺牲开发速度的前提下强化供应链安全防护。
过去一年中npm生态系统遭受的大规模攻击显示出软件供应链威胁格局的显著变化。从简单的拼写错误攻击演变为针对维护者、CI流水线的协调凭证攻击。攻击者不再创建虚假包,而是通过窃取凭证劫持真实包发布恶意更新。现代攻击主要在CI/CD环境中激活,利用安装后脚本窃取密钥和篡改构建。企业需要将CI运行器视为生产资产,积极轮换发布令牌,并采用运行时分析而非静态扫描来检测威胁。