Repository Health Monitoring Part 2: Essential Practices for Secure Repositories 文章介绍了保障代码仓库安全的最佳实践，包括代码审查、分支保护、依赖管理、模糊测试和安全策略等措施，以防止供应链攻击并提升软件安全性。... 2025-6-11 10:3:41 | 阅读: 0 | 收藏 | Checkmarx.com - checkmarx.com security software repository workflows

Repository Health Monitoring Part 1: A Cornerstone of Software Supply Chain Security 文章指出软件供应链安全至关重要，尤其是常被忽视的代码仓库环节。由于现代代码仓库包含敏感数据和配置信息，成为攻击目标。通过自动化监控和实施最佳实践（如代码审查、分支保护、依赖管理等），可有效减少未经授权更改、低质代码及合规风险。Checkmarx提供全面解决方案以强化软件供应链安全。... 2025-6-10 09:34:10 | 阅读: 0 | 收藏 | Checkmarx.com - checkmarx.com security repository software monitoring checkmarx

PyPI供应链攻击揭露：Colorama和Colorizr名称混淆 Checkmarx研究人员发现恶意软件包通过拼写混淆攻击模仿开源项目colorama和colorizr，上传至PyPI和NPM仓库。这些恶意包具备远程控制、数据窃取功能，并尝试规避杀毒软件检测。攻击者利用跨生态系统的名称混淆策略增加隐蔽性。... 2025-5-28 12:0:0 | 阅读: 17 | 收藏 | 玄武实验室每日安全 - checkmarx.com windows malicious remote payload pypi

Modernizing AppSec: The Shift from On-Prem SAST to a Cloud-Native Platform 软件开发和应用安全经历了重大变革。传统瀑布模型转向持续交付，推动DevSecOps兴起。云原生平台如Checkmarx One通过弹性容量、内置集成和AI辅助开发实时修复漏洞，解决传统SAST局限性，提升效率与协作。... 2025-5-26 12:17:2 | 阅读: 0 | 收藏 | Checkmarx.com - checkmarx.com security checkmarx development developers cloud

Shifting AppSec to the Left Improves Security and Developer Experience 文章探讨了开发者因频繁处理安全漏洞而面临的效率下降和疲劳问题，并提出通过"左移"安全措施（如实时代码分析和预提交扫描）在开发早期解决安全风险的方法。这种方法不仅提高了安全性，还减少了开发者的负担和时间浪费。... 2025-5-21 13:0:17 | 阅读: 4 | 收藏 | Checkmarx.com - checkmarx.com security developer developers appsec development

What’s ‘Boardish’ and Why You Should Learn to Speak It Fluently 网络安全在董事会中常因沟通障碍受阻。CISO需将技术术语转化为商业语言以获得支持。... 2025-5-15 10:43:4 | 阅读: 3 | 收藏 | Checkmarx.com - checkmarx.com security cisos boards apma

Always Ready to Run: How CISOs Can Finally Get Ahead of Application Risk 随着应用安全需求的增加和开发速度的加快，CISO的角色正在从工具采购者转变为战略领导者。新的安全模型要求CISO与开发团队合作，通过优先处理关键漏洞、将安全无缝融入开发流程以及整合安全工具来平衡风险与业务速度。Checkmarx提供了一体化平台和解决方案，帮助组织实现高效安全开发并降低风险。... 2025-5-13 10:0:0 | 阅读: 5 | 收藏 | Checkmarx.com - checkmarx.com security developers cisos development

The Fast and the Frictionless: Tuning AppSec to Boost Your DORA Metrics 文章通过F1赛车类比，探讨了应用安全（AppSec）对软件交付性能（DORA指标）的影响。AppSec若与开发流程脱节会增加摩擦，而若集成良好则能显著提升部署频率、缩短变更前置时间、降低变更失败率并加快恢复时间。文章还介绍了Checkmarx One如何通过统一平台嵌入开发流程，助力团队实现更快、更安全的交付。... 2025-5-13 07:54:6 | 阅读: 3 | 收藏 | Checkmarx.com - checkmarx.com appsec security developers dora

Multi-Agent Networks in AppSec: The Future of Collaborative, Autonomous Security 文章探讨了多智能体网络在应用安全中的重要性及潜力。随着生成式AI向智能体AI的转变，多智能体网络通过协作提升开发与安全效率。其优势包括减少平均修复时间（MTTR）、优化开发运营指标（DORA）、促进跨团队协作以及降低工程成本。... 2025-5-12 13:43:8 | 阅读: 1 | 收藏 | Checkmarx.com - checkmarx.com security agents appsec network developers

Developers’ Work Just Got Much Simpler with Latest Checkmarx Update Checkmarx One平台推出新功能，包括ASPM集成到IDE、私有组件库安全扫描、预提交阻止敏感凭证泄露以及工程领导仪表盘，旨在简化开发流程中的安全操作并提升整体SDLC的安全覆盖与可见性。... 2025-4-24 12:0:40 | 阅读: 2 | 收藏 | Checkmarx.com - checkmarx.com security development checkmarx developers appsec

ASPM is for Everyone 文章介绍了应用安全态势管理（ASPM）如何整合多种安全工具和流程，帮助开发人员在开发过程中实时识别和修复漏洞。通过将ASPM直接嵌入IDE，开发者能够更高效地处理安全问题，并与安全团队协作。未来，AI技术将进一步提升风险评估和决策能力。... 2025-4-24 12:0:4 | 阅读: 2 | 收藏 | Checkmarx.com - checkmarx.com security aspm developers ensuring

What is ASPM and Why Do You Need It in Your Cyber Toolkit? 应用安全态势管理（ASPM）是一种战略方法，通过整合多种安全测试工具和分析数据，帮助组织优先处理高风险漏洞。它提供统一平台进行数据关联和风险评估，并优化资源分配和跨部门沟通。Checkmarx One是推荐的解决方案。... 2025-4-21 18:49:53 | 阅读: 5 | 收藏 | Checkmarx.com - checkmarx.com security aspm checkmarx development

The MITRE CVE Program Funding Situation: Response From Checkmarx MITRE的CVE项目合同即将到期引发担忧，CISA延长合同期并成立基金会以确保其可持续性。Checkmarx作为CVE编号机构承诺继续支持该项目，并通过多种渠道提供全面漏洞情报。... 2025-4-18 14:59:28 | 阅读: 2 | 收藏 | Checkmarx.com - checkmarx.com checkmarx security backbone

The MITRE CVE Program Funding Situation: Response From Checkmarx MITRE的CVE项目合同即将到期引发担忧，CISA延长服务并成立基金会确保其可持续性。... 2025-4-18 14:55:50 | 阅读: 25 | 收藏 | Checkmarx.com - checkmarx.com checkmarx security disruption

The AppSec Manager’s Guide to Understanding the Hidden Threats of Malicious Code in Open Source Software 开源软件高效且快速，但隐藏着安全威胁。依赖混淆、打字劫持和仓库劫持是常见的攻击方式。防范措施包括注册占位包、使用SCA工具、锁定内部仓库、严格管理版本更新以及自动化检测漏洞。... 2025-4-11 03:11:50 | 阅读: 0 | 收藏 | Checkmarx.com - checkmarx.com malicious attackers github annastacia

The AppSec Manager’s Guide to Understanding the Hidden Threats of Malicious Code in Open Source Software 开源软件虽高效实用，但也面临恶意代码威胁。文章分析了依赖混淆、拼写欺骗和仓库劫持三种常见攻击手段，并提供防范建议：注册占位包、使用SCA工具、严格管理版本更新及自动化检测等。强调通过技术手段和工具保障开源供应链安全。... 2025-4-11 03:11:50 | 阅读: 1 | 收藏 | Checkmarx.com - checkmarx.com malicious attackers github annastacia

Secret Sprawl: The Silent Threat to Enterprise Security "Secret sprawl" 指敏感凭证在组织中无序扩散的现象，可能导致安全漏洞、运营中断及合规问题。解决方案包括使用安全工具管理凭证、检测工具扫描代码中的密钥，并通过培训防止开发人员误操作。... 2025-4-11 02:50:44 | 阅读: 0 | 收藏 | Checkmarx.com - checkmarx.com sprawl hardcoded developer development checkmarx

The Trinity of Architects: How to Ensure Enterprise Grade Application Security Michael’s Stores CISO Wei Dong在 webinar 讨论了如何通过优化开发者体验让开发者成为安全冠军。他们内部开发复杂应用，需持续安全合规。方法包括集成安全平台到开发工具、提供培训指导，并引入“架构师三重奏”确保全面安全。... 2025-4-10 14:59:24 | 阅读: 0 | 收藏 | Checkmarx.com - checkmarx.com security architects software developer michael

BentoML库中的严重远程代码执行漏洞CVE-2025-27520 BentoML发现严重远程代码执行漏洞（CVE-2025-27520），CVSSv3评分9.8分。该漏洞影响版本1.3.8至1.4.2，允许攻击者通过恶意数据包执行任意代码并控制服务器。问题源于反序列化不安全。建议升级至1.4.3修复。... 2025-4-10 04:59:15 | 阅读: 9 | 收藏 | 玄武实验室每日安全 - checkmarx.com bentoml python payload pickle 27520

Securing the AI Development Lifecycle: From Code Generation to Deployment 文章探讨了人工智能在应用安全中的潜力与风险，指出AI生成代码虽提升效率但存在安全漏洞和偏见问题。AI作为工具无法取代专家，但能提升其能力。建议通过治理、培训和集成安全扫描工具负责任地使用AI。... 2025-4-4 04:21:2 | 阅读: 4 | 收藏 | Checkmarx.com - checkmarx.com security appsec developers governance