GenAI Software Supply Chain Security Gap: Why Traditional AppSec Can’t Keep Up 好的，我现在需要帮用户总结这篇文章的内容，控制在100字以内。首先，我得仔细阅读文章，抓住主要观点。 文章主要讲的是生成式AI在软件开发中的应用带来的变化和安全风险。生成式AI工具如GitHub Copilot等提高了开发效率，但也引入了新的漏洞。传统安全工具在代码提交后扫描，但AI生成的代码可能在提交前就存在风险，传统工具无法及时发现。 接下来，文章提到新的攻击向量，如LITL、提示注入和Shadow AI，这些是传统安全措施无法应对的。因此，安全措施需要前移，在代码生成时就进行实时检测和修复。 总结时要涵盖生成式AI的影响、新漏洞类型、传统工具的不足以及解决方案。控制在100字以内，所以需要简洁明了地表达这些要点。 </think> 生成式AI改变了软件供应链，提高了开发效率但引入新风险。AI生成代码可能包含逻辑错误、不安全默认配置和未验证依赖项，在提交前就引入漏洞。传统安全工具依赖于提交后扫描，无法及时检测这些风险。新的攻击向量如提示注入和影子AI进一步加剧威胁。安全需前移至代码生成阶段，在IDE中实时验证逻辑和依赖项以应对这些挑战。... 2025-11-30 12:26:23 | 阅读: 1 | 收藏 | Checkmarx.com - checkmarx.com security software assistants developer

How Checkmarx Defends Against the Shai-Hulud Second Coming Malicious Package Campaign 好的，我现在需要帮用户总结这篇文章的内容，控制在100个字以内。首先，我得通读整篇文章，抓住主要信息。 文章主要讲的是2025年11月24日针对NPM开源包仓库的一次重大攻击事件。这次攻击被称为“Shai-Hulud Second Coming”，是之前攻击的升级版。恶意软件会窃取开发者的工作站和CI/CD环境中的GitHub、NPM等凭证，然后利用这些凭证感染其他包和仓库，导致自我传播。如果无法获取凭证，它还会删除用户的主目录，造成破坏。 Checkmarx公司迅速响应，推出了恶意包保护系统（MPP）和API（MPIAPI），帮助客户检测和阻止恶意包的安装。他们的数据库是全球最大的经过人工验证的恶意包数据库，覆盖多个生态系统。 用户的要求是用中文总结，不超过100字，并且不需要特定的开头。所以我要提炼出关键点：时间、攻击名称、影响、Checkmarx的应对措施。 可能的结构：时间 + 攻击名称 + 影响 + Checkmarx的解决方案。 现在整合这些信息： 2025年11月24日，NPM遭受重大攻击“Shai-Hulud Second Coming”，导致恶意软件传播并破坏开发者环境。Checkmarx通过MPP和API提供实时检测和阻止功能，保护客户安全。 这样控制在100字以内，并且涵盖了主要事件和应对措施。 </think> 2025年11月24日，NPM开源包仓库遭受重大攻击“Shai-Hulud Second Coming”，导致恶意软件传播并破坏开发者环境。Checkmarx通过MPP和API提供实时检测和阻止功能，保护客户安全。... 2025-11-30 05:49:1 | 阅读: 10 | 收藏 | Checkmarx.com - checkmarx.com malicious checkmarx software shai developer

The Future of DAST A Brief... 2025-11-24 17:44:28 | 阅读: 3 | 收藏 | Checkmarx.com - checkmarx.com dast security developer appsec checkmarx

Safe Refactor: The Faster, Safer Way To Upgrade Vulnerable Packages Ask any d... 2025-11-24 15:17:3 | 阅读: 2 | 收藏 | Checkmarx.com - checkmarx.com refactor developers developer codebase malicious

Revolutionizing SCA with Agentic AI: How Checkmarx Developer Assist Transforms Open-Source Security within the IDE Revolutio... 2025-11-19 14:22:6 | 阅读: 3 | 收藏 | Checkmarx.com - checkmarx.com developer security assist developers refactor

Pre-Commit or Pay Later: The New Cost of AI-Era AppSec AI made... 2025-11-18 11:32:47 | 阅读: 5 | 收藏 | Checkmarx.com - checkmarx.com developer security assist developers tax

Rumors of the Developer’s Demise Have Been Greatly Exaggerated: A perspective from Simon Bennetts, Software Engineering Expert at Checkmarx If you’ve... 2025-11-18 11:6:17 | 阅读: 3 | 收藏 | Checkmarx.com - checkmarx.com security developers checkmarx assist agents

Stop Chasing Vulnerabilities – Let Agentic AI Prevent Them Every sec... 2025-11-17 22:13:27 | 阅读: 6 | 收藏 | Checkmarx.com - checkmarx.com agentic developers security autonomous

Codemender, Aardvark, and the Rise of Agentic AppSec: What Developers Need to Know 嗯，用户让我总结一篇文章的内容，控制在100字以内，而且不需要用特定的开头。我得先仔细阅读文章，抓住主要信息。 文章讲的是Google DeepMind的CodeMender和OpenAI的Aardvark在应用安全自动化方面的最新进展。CodeMender能检测漏洞并自动生成补丁，而Aardvark则作为安全研究员实时监控代码仓库，提出修复建议。同时，Checkmarx推出了自己的解决方案，强调在开发过程中实时预防漏洞。 我需要把这些要点浓缩到100字以内。首先提到两家公司的工具及其功能，然后点出Checkmarx的不同之处和优势。要确保语言简洁明了，不遗漏关键信息。 可能的结构是：Google和OpenAI的新工具如何提升应用安全自动化能力，以及Checkmarx如何通过实时预防重新定义安全。这样既涵盖了主要公司和功能，又突出了Checkmarx的独特之处。 最后检查字数，确保不超过限制，并且表达清晰。 </think> Google DeepMind和OpenAI分别推出CodeMender和Aardvark工具，通过AI实现代码漏洞检测与修复自动化。Checkmarx的Developer Assist则更进一步，在开发阶段实时预防漏洞，提供更高效的开发者友好型安全解决方案。... 2025-11-11 15:44:49 | 阅读: 5 | 收藏 | Checkmarx.com - checkmarx.com security aardvark appsec agentic developer

Malicious Open-Source Packages: The Imminent AppSec Threat for which Most Enterprises are Underprepared 恶意开源包（MPs）正成为现代应用开发的重大威胁，可窃取敏感数据并破坏构建流程。尽管企业高度依赖开源软件，但仅49%采取防护措施。Checkmarx推出MPIAPI实时检测恶意包，并提供全生命周期防御方案。... 2025-11-11 13:43:44 | 阅读: 6 | 收藏 | Checkmarx.com - checkmarx.com malicious appsec checkmarx ebook

The $5 Hack That Shook the Tech World 安全事件频发，攻击者利用开源与AI工具发起恶意软件攻击。2022年5月一例仅需5美元的漏洞利用事件引发关注：通过购买过期域名控制已废弃Python包ctx，并上传窃取AWS凭证的恶意版本。此类"恶意包"正快速扩散，需借助工具如Checkmarx One进行实时检测与拦截。... 2025-10-30 17:0:58 | 阅读: 1 | 收藏 | Checkmarx.com - checkmarx.com malicious software checkmarx security python

“Vulnerable by Design”: The Boldest Takes From Our Live Panel on AppSec in the Agentic AI Era 好的，我现在需要帮用户总结这篇文章的内容，控制在100个字以内。首先，我得通读整篇文章，抓住主要观点。 文章主要讨论了AI对应用安全的影响。提到AI加速了软件交付，但也带来了新的安全威胁。报告指出很多组织明知有漏洞却继续发货，导致高比例的漏洞和攻击事件。 接下来，文章讨论了开发人员和CISO之间的信息不对齐，以及缺乏有效的治理措施。还有工具使用不足的问题，因为安全团队没有有效传达工具的价值。 最后，文章强调了未来需要结合AI和传统方法来提升安全性，并将其视为业务问题而非单纯的技术问题。 现在，我需要把这些要点浓缩成100字以内的总结。要确保涵盖AI带来的挑战、数据统计、治理问题以及未来的解决方案。 </think> AI正在重塑应用程序安全规则，加速软件交付的同时也带来了新的安全威胁。报告指出81%的组织明知代码存在漏洞仍继续发货，98%在过去一年遭受过攻击。开发人员与CISO间存在事实认知偏差，缺乏有效治理和工具使用不足加剧了风险。未来需结合AI与传统方法提升安全性，并将其视为业务问题而非单纯技术问题。... 2025-10-30 05:37:35 | 阅读: 4 | 收藏 | Checkmarx.com - checkmarx.com security appsec developers cisos

The Productivity–Security Paradox of AI Coding Assistants Developer... 2025-10-26 15:32:36 | 阅读: 3 | 收藏 | Checkmarx.com - checkmarx.com security acsa developers appsec assist

When the AI Lies: A New Threat Emerges for “Human-in-the-Loop” Security Checkmarx Zero的研究揭示了一种新型攻击方式——"Lies-in-the-Loop"（LITL），通过诱导AI信任错误信号执行恶意代码。攻击者隐藏有害代码，在特定条件下触发，并利用AI学习机制和开发者反馈强化欺骗。此威胁影响广泛，需提升开发者警惕并改进AI安全机制。... 2025-10-21 09:32:51 | 阅读: 14 | 收藏 | Checkmarx.com - checkmarx.com checkmarx claude developers security developer

What Is ACSA? Defining AI Code Security Assistance for the Enterprise AI加速软件开发的同时带来新风险,传统安全工具已无法应对。Gartner提出AI代码安全辅助(ACSA)概念,通过实时验证、修复和政策执行,将安全融入编码过程。Checkmarx推出三代理架构平台,整合IDE与CI/CD工具,实现智能、预防性安全防护,助力企业提升代码质量和安全性。... 2025-10-20 10:4:17 | 阅读: 5 | 收藏 | Checkmarx.com - checkmarx.com acsa security appsec developer agentic

Checkmarx Named a Leader for the 7th Time in the 2025 Gartner® Magic Quadrant™ for Application Security Testing Checkmarx 被 Gartner 评为 2025 年应用安全测试领域领导者（第七次获此称号），其开发者为中心的安全方法和创新承诺受到认可。公司在愿景完整性评估中位居榜首，并通过 AI 驱动技术（如 Checkmarx One）助力开发人员和安全团队高效协作。... 2025-10-14 15:49:48 | 阅读: 81 | 收藏 | Checkmarx.com - checkmarx.com security checkmarx quadrant innovation development

The Rhythm of Revolution: AI’s Role in the Next Tech Tipping Point 文章指出人工智能正在重塑软件开发与安全实践,其广泛应用提升了生产力但增加了代码漏洞风险。为应对这一挑战,主动应用安全成为关键,通过智能化工具嵌入开发流程,实现持续监测与修复,确保在AI驱动的快速创新中保持安全性。... 2025-9-24 15:57:4 | 阅读: 7 | 收藏 | Checkmarx.com - checkmarx.com development dora appsec security proactive

The Rhythm of Revolution: AI’s Role in the Next Tech Tipping Point 文章指出AI正在重塑软件开发与安全实践，90%的技术人员已将AI融入工作流程，显著提升生产力与代码质量。然而，AI生成代码易引发更多安全漏洞。Checkmarx One通过智能自动化与嵌入式安全措施，帮助开发者在开发初期识别并修复漏洞，推动主动安全策略成为企业核心竞争力。... 2025-9-24 10:10:34 | 阅读: 11 | 收藏 | Checkmarx.com - checkmarx.com development security dora appsec software

Announcing DevGrid + Checkmarx Partnership: A New Era of Secure Engineering DevGrid与Checkmarx合作推出集成方案，将安全无缝融入软件开发流程。通过结合Checkmarx的SAST和SCA技术与DevGrid的智能编排能力，实现代码扫描、漏洞关联、优先级排序及实时可见性。该方案旨在解决开发与安全团队间的脱节问题，提升效率并降低风险。... 2025-9-23 08:6:13 | 阅读: 14 | 收藏 | Checkmarx.com - checkmarx.com security checkmarx devgrid development software

AI Agents and Secure Software Engineering Gartner指出AI代理正在改变软件开发方式，其自主性提升了效率但带来新风险。生成式AI成熟和云扩展助力其广泛应用。企业需通过实时扫描、政策编码和行为监控等措施应对安全挑战，并培养开发者新技能以实现负责任的AI集成。... 2025-9-22 22:5:0 | 阅读: 5 | 收藏 | Checkmarx.com - checkmarx.com agents software developers security agentic