XiaoMi-AI文件搜索系统
World File Search System安全软件
安全无忧的软件租赁
众所周知,量子密码学可以实现仅使用经典信息无法实现的功能。最近,安全软件租赁 (SSL) 已成为这些感兴趣的领域之一。给定一个来自电路类的目标电路 C,SSL 会生成 C 的编码,使接收者能够评估 C ,还使软件的创建者能够验证软件是否已返回 — 这意味着接收者已放弃进一步使用该软件的可能性。显然,仅使用经典信息无法实现这样的功能,因为不可能阻止用户保留软件的副本。最近的结果表明,对于一类称为计算和比较的函数(这些是众所周知的点函数的概括),使用量子信息可以实现 SSL。然而,这些先前的工作都利用了设置或计算假设。在这里,我们表明 SSL 可以在没有任何假设的情况下用于计算和比较电路。我们的技术涉及量子复制保护的研究,这是一个与 SSL 相关的概念,但编码过程本质上可以防止潜在的量子软件盗版者将 C 的编码的单个副本拆分为两部分,每个部分都允许用户评估 C 。我们表明,对于涉及一个诚实评估者和一个恶意评估者的新型安全定义,点函数可以在没有任何假设的情况下进行复制保护;这是通过证明从任何量子消息认证代码中,我们都可以推导出这样一个诚实-恶意复制保护方案来实现的。然后,我们表明,通用的诚实-恶意复制保护方案意味着 SSL;根据先前的工作,这为计算和比较函数提供了 SSL。
使用软件材料清单评估软件供应链的安全风险
摘要 - 软件供应链由越来越多的组件组成,包括二进制文件,库,工具和微服务,以满足现代软件的要求。由软件供应商组装的产品通常由开源和商业组件组成。软件供应链攻击是网络安全威胁的最大增长类别之一,供应商产品的大量依赖性使单一脆弱性传播到许多供应商产品中成为可能。此外,软件供应链还提供了较大的攻击表面,可允许上游传播依赖性的漏洞影响核心软件。软件材料清单(SBOM)是一种新兴技术,可以与分析工具一起使用,以检测和减轻软件供应链中的安全漏洞。在这项研究中,我们使用开源工具Trivy和Grype来评估从各个域和大小的第三方软件存储库中开采的1,151个SBOM的安全性。我们探讨了SBOM跨SBOM的软件漏洞的分布,并寻找最脆弱的软件组件。我们得出的结论是,这项研究通过软件供应链漏洞表明了安全性的威胁,以及使用SBOMS来帮助评估软件供应链中的安全性的可行性。索引条款 - 软件供应链安全,材料清单,采矿软件存储库,第三方代码
确保软件供应链安全:建议...
本文件仅供一般参考。以商品名、商标、制造商或其他方式提及任何特定商业产品、流程或服务,并不构成或暗示美国政府的认可、推荐或支持。本文件旨在适用于各种实际情况和行业利益相关者,此处提供的信息仅供参考。本文件中的指南按“原样”提供。 一旦发布,其中的信息可能不构成最新的指南或技术信息。因此,该文件不构成合规或法律建议,也不打算构成合规或法律建议。读者应咨询各自的顾问和主题专家,根据个人情况获取建议。在任何情况下,美国政府均不对因使用或依赖本指南而产生的任何损害负责。
确保客户的软件供应链安全
‹•–'”钜…佘Ž¤ࡡ •'ˆ–™ف”‡ •—''Ž› …Šf媫 …' '"' ´•‡• Žс"‰‡Žα -f"‰‡–‡† …' ' Ž› '™ ~—Ž ‡" ``媄彽 ´– ´‡• '" ‰ 媫 彝彝–彝 • –Šf– ™‡"‡ Ž‡ˆ– — 'f–…Š‡†Ǥ Š囫‡ –Š"‡ƒ– ▪▪▪▪▪ϡ ▪¤ ‡™ǡ Ž‡•• …' '•'媫—'—• ‡–'† 'ˆ …' '"' ‹•‡ fŽ•' –Š”‡▪–‡ • •'ˆ–™ƒ”‡ •—''Ž› Šf‹ • ƒ † — †‡” ‹ ‡• –”—•– ‹ –Š‡ '▪–…Š¤ ¤•–‡ • –Š‡ •‡Ž~‡• –Šf– ƒ”‡ …”–ª…▪▪ –' ‰—ƒ”†¤ ¤ ¤¤ª •– Ž‡kHz…° ▪––▪… •Ǥ ▪–Š‡” –Šƒ ™ƒ‹–‹ ‰ ˆ'” '—„Žª… ~—Ž ‡” „ª ª †¤•…Ž'•—"‡•ǡ –Š" ‡ƒ– ƒ…–'"• '"'ƒ…– ¤‡Ž› ‹ Œ‡…– ▪ …'†‡ ‹ –' '"'†—…–• –Šf– ƒ”‡ –Š‡ Ž‡̽–‹ ▪–‡Ž› †‹•–”‹„—–‡† †'™ •–”‡▪ –Š”'—‰Š –Š‡ ‰Ž'„▪▪'ˆ–™ƒ”‡ •—''Ž› …Šf ‹ Ǥ ~‡" –Š‡ Žf•– ˆ‡™ ›‡с”•ǡ –Š‡•‡ ‡š–Ǧ‰‡ •'ˆ–™ƒ”‡ •—''Ž› Šƒ‹ …' '"' ‹•‡• Šf~‡ •´ª ¤ª…с –Ž› ‹ …”‡с•‡† ˆ'” „'–Š ''‡•'—”...‡ ▪ ▪ † ...' ‡”… ¤Ž •'ˆ–™ƒ”‡ '”'†—…–•Ǥ
安全关键软件开发工具评估...
16.摘要 本研究的目的是确定评估标准,使开发人员和认证机构能够从系统和软件安全的角度评估特定的安全关键型实时软件开发工具。本报告根据当前的航空系统认证指南阐明了软件开发工具的前景。研究工作朝两个方向进行:(1) 收集有关工具资格认证工作的数据,以检查现有指南未来可能出现的修改;(2) 通过确定工具类别、功能、关注点、因素和评估方法来创建软件开发工具评估分类法。问题陈述有四个部分:(1) 行业观点、(2) 资格认证、(3) 质量评估和 (4) 工具评估分类法。从行业收集的数据影响了评估过程和开发工具实践的建议。描述了用于评估工具的选定方法。报告介绍了研究过程中确定的不同类别的工具。此分类仅限于 DO-178B 指导的研究范围。最后,报告定义了工具评估分类法的结构和组织。
与安全相关汽车系统的软件
本指南旨在维护和扩展。当前版本与其他方面有关:•“功能安全”和软件开发中使用的术语的定义。•安全相关软件的安全概念和体系结构指南。•软件架构级别的软件安全分析指南。•ISO 26262第6部分中列出的推荐方法的说明。•用于开发嵌入式软件的软件工具的分类和资格。•关于ISO 26262的相关性的评论。•使用软件SEOOC的指南。•合规性是什么意思?3的术语说明以下解释包括本文档中使用的术语。解释旨在减轻共同的理解。
软件供应链安全风险的状态
2024年5月第1部分。引言这项研究的目的是了解准备组织在降低供应链中软件安全风险方面的准备工作。由Black Duck赞助,Ponemon Institute对1,278 IT和IT安全从业人员进行了调查,这些从业人员正致力于实现安全的软件供应链,并对其组织的软件供应链安全策略负有一定程度的责任。这项研究中的地区和国家是北美(613名受访者),EMEA(362名受访者)和日本(303名受访者)。根据国家标准技术研究所(NIST),软件供应链攻击可以像恶意软件注射一样复杂,也可以像对未拨动的漏洞的机会主义剥削一样简单。恶意代码然后最终进入组织的系统,并可能允许黑客访问敏感数据或妥协其代码以访问客户。这可能会导致勒索软件攻击或其他恶意事件。通常,攻击者在供应链中发现一个薄弱环节,并使用它向其真正的目标向上或跨供应链移动。漏洞是对本研究中许多软件供应链的攻击的根本原因。这项研究中的59%的组织受到软件供应链攻击或利用的影响,其中54%的受访者表示,攻击发生在过去一年。这些组织中有50%花了一个多月来应对袭击。图1。攻击或剥削的根本原因是什么?如图1所示,28%的受访者表示,攻击或剥削的根本原因是先前检测到的未捕获的开源漏洞,23%的受访者表示这是零日脆弱性的结果。
远程访问软件安全指南
远程访问软件为 IT/OT 团队提供了灵活的方式,可尽早检测异常网络或设备问题并主动监控系统。网络威胁行为者越来越多地利用这些相同的工具轻松广泛地访问受害系统。虽然组织出于合法目的使用远程访问软件,但安全工具或流程通常不会将其使用标记为恶意。恶意行为者利用这一点,使用远程访问软件通过云托管基础设施建立网络连接,同时逃避检测。这种入侵属于离地攻击 (LOTL),其中本质上的恶意文件、代码和脚本是不必要的,网络威胁行为者使用环境中已经存在的工具来维持其恶意活动。有关 LOTL 攻击的更多信息和示例,请参阅联合网络安全咨询中华人民共和国国家支持的离地网络行为者逃避检测。
确保软件供应链安全(针对供应商)
从历史上看,软件供应链入侵主要针对的是组织中未修补的常见漏洞。虽然威胁者仍在使用这种策略来入侵未修补的系统,但一种新的、不太显眼的入侵方法也威胁着软件供应链,并破坏了人们对修补系统本身的信任,而修补系统对于防范传统攻击至关重要。威胁者不会等待漏洞公开披露,而是主动将恶意代码注入产品中,然后通过全球软件供应链合法地向下游分发。在过去几年中,这些下一代软件供应链入侵对开源和商业软件产品的影响显著增加。
安全关键认证DO-178C 下的软件和...
RTCA 最近发布了 DO-178C 和 DO-278A,分别作为空中和地面空中交通管理软件生产的新认证指南。此外,RTCA 特别委员会 SC-205 还同时发布了另外五份配套文件。这些文件是 RTCA DO-248C、DO-330、DO-331、DO-332 和 DO-333。这些补充文件解答了有关软件认证的常见问题,提供了工具资格要求方面的指导,并说明了在使用基于模型的软件设计、面向对象编程和形式化方法时建议对 DO-178C 进行的修改。本文的目的首先是解释 DO-178C 与以前的 DO-178B 的关系,以便让熟悉 DO-178B 的人了解哪些内容已更改,哪些内容未更改。在此背景下,本文展示了 DO-178C 和 DO-278 与新的地面软件开发 DO-278A 文件之间的关系。最后,概述了工具资格文件中包含的新指南以及 DO-178C 和 DO-278A 的三个新补充。对于那些不熟悉 DO-178B 的人来说,本文旨在为机载和地面 CNS/ATM 软件认证的新认证指南提供切入点。