去年，整个业界在加强软件供应链安全方面取得了显著进展，但安全团队在软件供应链方面仍然面临着许多潜在的威胁。AI/ML模型中恶意代码的猖獗使用、遭入侵的开源软件、漏洞利用等问题仍持续困扰着企业。为在2024年确保软件供应链尽可能安全，安全专业人士必须在今年致力于做好以下五大关键，包括：●对于开源代码，在信任的同时要对其进行验证●警惕安全解决方案和代码开发中的AI/ML●不要对零日漏洞感到恐慌●将SBOM作为安全战略的必备要素进行集成●采取“左移”战略对于开源代码，在信任的同时要对其进行验证安全领导者面临的最严峻挑战之一就是开源软件的威胁。许多开发者盲目信任来自公共开源代码库的软件，认为它们不存在

事实表明，云主权必须是企业更广泛的云计算方法的核心。研究机构凯捷公司副总裁RobKernahan讨论了强大的云主权战略在保证基础设施安全方面的重要性。云计算一直是创新的最大推动者之一，它彻底改变了服务的设计和交付方式-从社交媒体和流媒体平台的兴起，一直到新商业模式和政府数字平台的开发。凭借其加速创新的能力，云计算已成为新业务方式的基本支柱，并实现了现代服务交付。对许多企业来说，云计算的好处是显而易见的，他们迅速地抓住了云计算的竞争优势，并经常与境外的大规模企业合作。这样一来，云主权的概念就诞生了，指的是一家企业的数据如何受其所在国家法律的约束。然而，对于许多企业来说，使用云计算来获得竞争优势并

入侵通常需要几个月或更长的时间才能公之于众，受害者可能花了几周或几个月的时间才发现了漏洞，这可能在之后的几周或几个月内不会出现在公开报道中。技术供应链漏洞使威胁参与者能够以最小的努力扩展其运营，在导致第三方入侵的外部B2B关系中，75%涉及软件或其他技术产品和服务，其余25%的第三方违规涉及非技术产品或服务。与网络犯罪集团有关的第三方入侵臭名昭著的网络犯罪集团Cl0p在2023年可归因于第三方入侵的事件中占64%，紧随其后的是LockBit，仅占7%，Cl0p的突出表现在很大程度上是因为它大规模利用了MOVEit文件传输软件中的零日漏洞，这也是最常被提及的漏洞。当人们考虑到为什么威胁参与者一开

近日，安全研究人员HaxRob发现了一个名为GTPDOOR的Linux后门，利用该后门能够非法进入移动运营商网络内部。据信，GTPDOOR背后的威胁分子会攻击与GPRS漫游交换（GRX）相邻的系统，如SGSN、GGSN和P-GW，这些系统可为攻击者提供直接进入电信核心网络的途径。GRX是移动电信的一个组件，可促进跨不同地理区域和网络的数据漫游服务。服务GPRS支持节点（SGSN）、网关GPRS支持节点（GGSN）和P-GW（4GLTE的分组数据网络网关）是移动运营商网络基础设施的组成部分，各自在移动通信中发挥不同的作用。由于SGSN、GGSN和P-GW网络更容易暴露在公众面前，其IP地址范围已

SecurityScorecard近期发布的调查数据结果显示，98%的企业与曾发生过网络安全事件的第三方机构有关联。从以往的安全事件案例来看，网络攻击的受害者可能需要数周甚至数月才会发现自身存在的漏洞问题，此后数周或数月内漏洞才可能会被公开披露。因此，数据泄密事件往往可能需要数月或更长的时间才会公之于众。研究人员还发现，技术供应链漏洞使得威胁攻击者能够以最小的代价不断扩大网络攻击的规模。与网络犯罪集团有关的第三方泄密事件2023年，臭名昭著的网络犯罪集团Cl0p勒索软件组织可能要对64%的第三方违规行为负责，其次是LockBit勒索软件组织的7%。Cl0p勒索软件组织之所以取得如此大的”成功“

根据全球移动通信系统协会（GSMA）发布的一份研究报告，截至2023年底，全球5G设备达到16亿台，2023年新增约6亿台。到2030年，5G连接将继续保持高速增长，届时5G设备数量将占所有移动连接设备的56%。截至上个月，全球101个国家的261家运营商推出了商用5G服务，另外有64个国家的90家运营商承诺推出5G技术。虽然这些商用5G服务中只有47个使用独立网络，低于SMA对5GSA的预测。但GSMA指出，近期还有另外89个部署计划，这将大幅增加采用5G技术的运营商数量，因为他们希望能够利用真正的5G所带来的好处，包括网络切片、超可靠的低延迟服务、简化的网络架构等等。GSMA与运营商之间的

沃达丰在日前发布的一份报告中指出，由于5GSA的推出缓慢，英国中小企业每年在生产力损失方面的损失可能高达86亿英镑（约合人民币784亿元）。报告指出，瑞典、荷兰、芬兰、丹麦以更快的速度投资于“可靠、超高速的5G连接”，促进了中小企业的业务成长，领先于英国。在中小企业利用5G技术发展方面，英国目前正在成为欧洲第五大最具吸引力的国家。报告称，如果英国能够加速推出独立的5G网络，其市场规模可能会跃居第二，将仅次于丹麦。报告指出，5G网络具有为中小企业节省大量成本的潜力。沃达丰以农业部门为例，中小型企业通过使用独立的5G技术（例如土壤、天气和设备监视器），可以使每位农场工人节省3周以上的工作时间。快速

随着数字化转型深入各行各业，数据安全已成为企业不可或缺的重要议题。在这一背景下，有效的数据安全治理框架成为确保企业数据安全的基石。一、数据安全治理框架中国互联网协会于2021年发布T/SC-0011-2021《数据安全治理能力评估方法》，推出了国内首个数据安全治理能力建设及评估框架，如下图所示。数据安全治理能力能力评估框架该评估框架围绕组织、制度、技术、人员给出了企业落地数据安全建设的通用体系结构。企业可以通过内化该通用结构形成内部覆盖管理、技术、运营体系的实践模板，如下图所示。企业开展数据安全治理建设的实践模板腾讯安全和信通院发布的《数据安全治理与实践自皮书》中提出了以风险为核心的数据安全治

A/B测试简单来说，就是为同一个目标制定A、B方案，让一部分用户使用A方案，另一部分用户使用B方案，记录下用户的使用情况，看哪个方案转化率、注册率等指标更高，谁就赢。AB测试对于ToC应用至关重要，因为它可以在收集结果数据的同时对其用户体验进行仔细的更改。通过这种方式，可以更好地了解为什么应用中的某些元素会影响用户行为。 A/B测试本质上是个分离式组间实验，以前进行A/B测试的技术成本和资源成本相对较高，但一系列专业的可视化实验工具的出现，A/B测试已越来越成为应用优化常用的方法。本文推荐一些比较优秀的开源免费的A/B测试以及功能标记工具。1.GrowthBookGitHub（5.4K+Sta

2023一带一路暨金砖国家技能发展与技术创新大赛【企业信息系统安全赛项】国内赛竞赛样题2023一带一路暨金砖国家技能发展与技术创新大赛【企业信息系统安全赛项】国内赛竞赛样题*第一阶段：CTF夺旗**项目1.CTF夺旗*任务一命令注入任务二SQL注入项目2.序列化漏洞*任务三序列化链式利用任务四序列化字符串逃逸项目3.服务漏洞*任务五文件上传任务六缓冲区溢出漏洞第二阶段：内网渗透***项目1.内网渗透*任务一内网渗透第三阶段：公有靶场2023一带一路暨金砖国家技能发展与技术创新大赛【企业信息系统安全赛项】国内赛竞赛样题企业信息系统安全赛项项目包括以下部分：1.参加比赛的形式2.项目3.项目模块和