/
漏洞扫描 关键字列表
Anthropic推出Claude Security:扫描代码库漏洞并智能排定修复优先级
Anthropic正式发布Claude Security,这是一款面向企业级用户的网络安全防御产品,目前已向Enterprise层级用户开放公测。该工具基于Claude Opus 4.7模型,能够扫描完整代码仓库或指定目录,识别安全漏洞并生成针对性补丁。Claude Security还引入多阶段验证机制,对每项发现进行置信度评级,帮助安全团队优先处理高风险问题,并支持与CrowdStrike、Palo Alto Networks等主流安全平台集成。
供应链攻击持续发酵:黑客锁定安全与开发工具
安全公司Checkmarx成为近期供应链攻击最新受害者,勒索组织Lapsus$称已泄露其敏感数据。此次攻击由TeamPCP发起,已波及Trivy、Bitwarden等多个开源项目。黑客正明确瞄准高权限的安全与开发工具,以此扩大破坏范围。
Trivy安全扫描器GitHub Actions遭攻击,75个标签被劫持窃取CI/CD机密
开源漏洞扫描器Trivy在一个月内第二次遭受攻击,恶意软件窃取了敏感的CI/CD机密信息。攻击者强制推送了75个版本标签,将其修改为恶意载荷,有效地将可信版本引用转变为信息窃取器的分发机制。载荷在GitHub Actions运行器中执行,旨在提取SSH密钥、云服务凭证、数据库、Git配置等敏感开发者机密。
Go语言库维护者批评GitHub的Dependabot是"噪音制造机"
Go库维护者Filippo Valsorda呼吁开发者关闭GitHub的Dependabot工具,认为其误报问题会导致"警报疲劳"从而降低安全性。Valsorda曾负责Google的Go安全团队,目前维护Go标准库的加密包。他发布一个安全修复后,Dependabot对未受影响的代码库开启了数千个拉取请求,并生成了"无意义的CVSS评分"。他批评该工具只检查依赖关系是否存在,而不验证受影响的函数是否真正被使用,建议使用govulncheck等静态分析工具替代。
白皮书
京公网安备 11010802021500号
