苏州凌创电子系统有限公司成立于2004年8月，总部位于苏州工业园区，在上海、长春设有办事处，在南京、重庆等地设有分公司，是一家专业提供基于计算机的测试、测量以及自动化解决方案的民营高新技术企业，是典型的项目型装备制造企业，其项目交付过程为典型的边设计、边生产、边交付模式。

2023 年 8 月 25 日，由中国信息通信研究院、中国通信标准化协会联合主办的“2023 首届 SecGo 云和软件安全大会”在京召开。会上正式发布了第二期《软件供应链厂商和产品名录》，旨在提升软件供应链透明度，宣传推广一批成熟度高、具有示范作用的优秀案例，积极应对不断出现的软件供应链安全治理难题。腾讯云 CODING 代码托管平台凭借先进的国产技术方案成功入选中国信通院软件供应链厂商和产品名录全家福，完善信息安全软件领域矩阵。

丰田汽车表示，将从8月30日上午开始恢复国内12家工厂25条生产线的生产运营，下午最后两家工厂也将启动。

向实共生，重启增长。 2022年7月13日，2022京东全球科技探索者大会之京东云峰会在北京举行。会上，承接更懂产业的发展理念，京东云首次展示数智供应链全景图，发布七大应用场景，四大领先技术，以及12款领先技术产品，全面展示了京东云在零售、能源、城市、金融、工业制造和大型企业众多行业最佳实践。 京东集团副总裁、京东云事业群总裁高礼强表示，当下，产业数字化正由量变向质变进化。产业数字化的下一站是数智供应链，以供应链管理的思维来推进产业数字化转型是最高效的方式。 京东集团副总裁、京东云事业群总裁高礼强 解耦

近日，AMI MegaRAC Baseboard Management Controller (BMC)软件中披露了两个安全漏洞，这些漏洞一旦被攻击者成功利用，将可远程控制服务器并直接部署恶意软件。

多家媒体披露，Python 软件包索引（PyPI）资源库中一个“休眠已久”的软件包在两年后突然再次更新了，研究人员发现，威胁攻击者利用其传播名为 Nova Sentinel 的信息窃取恶意软件。

网络安全攻击中的信息收集是攻击者为了了解目标系统的弱点、配置、环境和潜在的防御措施而进行的活动。以下是一些常见的信息收集手段：

2017年8月10日，纺织品B2B交易平台“百布”宣布完成1.65亿元B+轮融资。本轮融资由云启资本领投，成为资本、源码资本继续跟投，又是一个B轮融资过亿的企业。

上周五（6月23日），全球最大的两家航空公司美国航空(American Airlines)和西南航空(Southwest Airlines)披露了一起数据泄露事件。泄露原因是航空飞行员管理招聘平台Pilot Credentials遭遇了黑客入侵。

软件开发者 Virgil Dupras 提出观点称“全球供应链将在 2030 年之前崩溃”，他认为在这种大崩溃时代，人们将无法生产大部分电子产品，因为它们依赖于复杂的供应链系统。

随着国民生活水平提升，中国人均水产消费量也在稳步攀升。据统计，中国已经是全球最大的海鲜消费市场。但是作为水产品生产大国，我国水产品的现状面临很多问题，主要表现在行业前进的脚步急缓不一，从产业链、品类、区域、产品、品牌等多个方面发展极不平衡的方面。随着消费者对于水产品质量安全需求的日益提升，国内传统的水产供应链模式也正亟需革新与完善。

随着国民生活水平提升，中国人均水产消费量也在稳步攀升。据统计，中国已经是全球最大的海鲜消费市场。但是作为水产品生产大国，我国水产品的现状面临很多问题，主要表现在行业前进的脚步急缓不一，从产业链、品类、区域、产品、品牌等多个方面发展极不平衡的方面。随着消费者对于水产品质量安全需求的日益提升，国内传统的水产供应链模式也正亟需革新与完善。

据外媒报道，伊朗最大的钢铁生产商Khouzestan Steel Company (KSC) 已承认遭遇严重网络攻击而被迫停产，这也是近年来针对该国战略工业部门的最大规模此类攻击之一。 KSC对此表示，由于在“网络攻击”后“存在技术问题”，该工厂必须停工直至接到进一步的通知。6月27日，该公司网站也因此关闭。不过，KSC公司CEO称，已经有效挫败了这一次网络攻击，生产线并未受到结构性损害，也不会影响供应链和客户。  网络攻击并未奏效  KSC公司隶属于政府下辖的伊朗矿业发展和改革组织（IMIDRO），是伊

近期，一次可以追溯到2021年12月的NPM供应链攻击使用了几十个包含模糊Javascript代码的恶意NPM模块，并破坏了数百个应用和网站。正如供应链安全公司ReversingLabs的研究人员所发现的那样，这一行动(被称为IconBurst)背后的威胁行为者针对一些开发者使用URL劫持，如gumbrellajs和ionic.io NPM模块。 他们通过非常相似的模块命名方式来诱骗受害者，添加恶意软件包旨在窃取嵌入表单(包括用于登录的表单)的数据到他们的应用程序或网站。例如，该活动中使用的一个恶意NPM软

08 / 06 各位Buffer周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、优质文章和省心工具，保证大家不错过本周的每一个重点！ 公众号回复关键字【周报】即可获得本周精选的阅读列表哦。 热点资讯 1、澳大利亚隐私监管机构调查 TikTok 据澳大利亚《金融评论》报道，8 月 1 日，澳大利亚隐私监管机构信息专员办公室（OAIC）表态，正在遵循监管行动政策，核查一份报告中指出的 TikTok 数据隐私问题。该报告由澳大利亚民间网络安全公司 Internet 2.0 发布。报告称，T

近期，备受瞩目的Circle CI、Okta和Slack SaaS供应链漏洞反映了攻击者瞄准企业SaaS工具以渗透其客户环境的趋势。对于安全团队来说，这种趋势令人担忧。

Checkmarx 在一份技术报告中提到，黑客在这次攻击中使用了多种TTP，其中包括窃取浏览器cookie接管账户、通过验证提交恶意代码、建立自定义Python镜像，以及向PyPI注册表发布恶意软件包等。

JavaScript 的强大之处在于其卓越的模块化能力，通过 npm 包管理机制，开发者可以轻易地引用并使用其他人或者组织已经编写好的开源代码，从而极大地加快了开发速度。但是，这种依赖关系的复杂性也给供应链的安全带来了巨大的挑战。

在开篇《安全事件运营SOP【1】安全事件概述》中，介绍了安全事件的定义、分级、处置原则及处置流程。当发生某类安全事件时，该如何快速处置？以及如何保证不同人员处置的效果都达标？安全事件的种类虽然繁多，但是处理起来并非无据可循。为了解决上述两个问题，同时提升工作效率和降低安全风险。经过大量的运营处置实践，总结出以下常见的处置标准操作程序（SOP）。

2019年底，一家美国智库内部网络遭受入侵，美国安全公司Volexity帮忙做应急处理，很快将攻击者踢出网络，但是攻击者技术明显高超很多，很快又出现在内部网络中。此后每周都多次往返于内部网络中，窃取特定高管、专家和IT员工的邮件，将邮件内容发送到外部服务器。随后安全公司又花了一周的时间将攻击者踢出网络，但是不知道为啥，在2020年6月下旬，攻击者又卷土重来，又从相同的账号中窃取邮件信息。