医疗设备的数字连接让我们对病人的护理、治疗能够更加有效和高效，且面对各种情况时能有更加直观的数据支持。对第三方组件的利用和依赖使开发此类医疗设备更加经济、更加可靠，并加快了创新的步伐。虽然第三方组件提供了许多好处，但也伴随着一定的网络安全风险。网络安全漏洞的独特之处在于，不同制造商生产的不同医疗...

近日，专注软件供应链安全的「安势信息」宣布已完成 Pre-A 轮融资。本轮融资金额在数千万元级别，领投方为微智数科，晨壹投资跟投，山景资本担任独家财务顾问。

近些年，由于车联网、自动驾驶汽车、共享和电动（CASE）技术的进步，汽车行业走上了一条软件定义汽车的革命性道路。汽车正加速从传统的工业架构向智能化转型，智能汽车已成为全球汽车产业发展的战略方向。汽车不再仅仅扮演从 A 地到 B 地的交通工具，如今，人们可以在汽车上实现从云端传输音乐，拨打免提电话，查看实时...

在数字时代，软件安全已经成为政府、企业、组织等各个层面关注的重要问题。虽然软件是一种无形资产，但是由于忽视软件安全所带来的国家安全、企业安全、个人隐私等各个方面的严重问题却是“有形”的。

在现代的开发模式中，开源可以说无所不在。从开源的 Linux 操作系统到 Kubernetes, Docker 这类开源的基础架构管理工具，再到 TensorFlow, PyTorch 这类 AI 和机器学习相关的开源库，几乎所有行业的应用都在很大程度上有开源软件的身影。更多更广泛的云原生应用的引入，更多更复杂的开源应用的使用场景，意味着组织面临...

近年来，随着软件开源成为主流，开源软件已经成为软件供应链的重要环节，是软件生态不可或缺的组成部分。几乎每个商业软件都使用开源软件节省开发时间、降低公司成本、避免重复造车轮，但软件公司对这些代码的品质和来源却未必都给予了足够的关注和重视。

开源软件在促进全球的技术创新方面发挥着越来越重要的作用，企业越来越依赖开源软件来加速开发与创新。据 Gartner 的调查报告，如今超过 90% 的企业在其重要的 IT 系统中使用了开源软件。不过正如 2021 年底爆发的 Log4j 事件对整个软件供应链造成的影响，开源安全问题仍然充满挑战。通过 SCA (Software Composition Ana...

在上一篇文章中，我们为大家介绍了 SBOM 最基础元素涉及的数据字段、自动化支持与最佳实践和流程。在本篇文章中，我们会为大家介绍 SBOM 最基础元素指导意见的最后一个部分内容，在了解上述最基础元素之后, SBOM 应该具有哪些信息和特点来适应更广泛的应用场景，并为大家介绍本指导意见对 SBOM 今后发展的展望。

2021 年 5 月 12 日，针对提升信息安全，美国总统拜登签署了 14028 号行政令，要求美国商务部和国家电信和信息管理局（NTIA）在 60 天内发布关于 SBOM 中最基础元素的指导意见。在 2021 年 7 月 21 日，此指导意见发布。

前文我们围绕“什么是软件基础设施透明度”、“为什么制定最基础 SBOM”、“最基础 SBOM 对各方优势”、“最基础 SBOM 涉及范围”等多个方面，对美国商务部与国家电信和信息管理局（NTIA）发布的 SBOM 最基础元素指南给大家做了一个初步的介绍。 在接下来的文章中，我们会详细为大家介绍 SBOM 最基础元素涉及的三个方面：数据字...

软件从闭源为主到开源成为主流，经历了几十年的发展。世界范围内，由于知识产权越来越受到重视和法律层面的保护，开源软件许可证也已经被广泛视为一种具有法律效力的合约，它规定了在软件使用和分发过程中的权利和义务。

作者：Brandon Lum, Isaac Hepworth, Meder Kydyraliev翻译：王峰校对：孙文龙SBOM 的全称是 Software Bill of Materials，中文译为软件物料清单，它不是一种特定的文件格式。SBOM 有不同的格式，但是其实质都是对于组件、依赖、漏洞、许可证、版权等信息的展示。SLSA 的全称是 Supply-chain Levels for Software Artifa...

引言：在信息安全界，近期爆出的最大的“雷”便是 2021 年 12 月发生的 Log4Shell 漏洞（CVE-2021-44228）。我们相信，类似 Log4Shell 的漏洞绝不是最后一次出现，那么下一次面临类似的问题的时候我们该怎样及早发现、及早修复呢？

在 5 月 30 日 OpenChain 组织召开的第 42 期线上研讨会上，作为 DevSecOps 领域中国首家 OpenChain 项目成员，上海安势信息技术有限公司（下称安势信息）的技术市场总监王峰受邀出席并发表名为《SCA 厂商在中国市场面临的机遇与挑战》的全英文主题演讲。

It's nearly impossible these days to build software without using open source code. But all that free software carries additional security risks.