SBOM

2019年，安全研究员 Liran Tal 做了一个实验。他向一个开源项目提交了一个看似普通的 Pull Request，添加了两个依赖包，代码审查一切正常——包名正确、版本有效、没有 typosquatting 痕迹。PR 被合并了。 ...

2020年12月13日，美国网络安全公司FireEye发布了一份震动全球的安全公告。该公司在调查自身安全事件时，发现了一个潜伏已久的高级持续性威胁（APT）：攻击者通过入侵网络监控软件供应商SolarWinds，在其产品更新中植入了后门。这个被命名为SUNBURST的恶意软件，随着正常的软件更新被推送给了约18,000家客户——包括美国财政部、国土安全部、国家安全局，以及微软、英特尔、思科等全球顶级科技公司。 ...