这篇文章深入探讨了当前分布式密码协议和硬件在供应链安全中存在的缺陷,特别是针对安全硬件(SH)中恶意硬件的潜在风险。文章更多地关注如何验证和信任硬件,包括提出了一些完整的协议框架来进行远程认证(RA),以及对开放硬件进行深入分析,强调了开放设计对于提高硬件安全性的潜力。
PyPI 引入了新的安全特性,即 Index-Hosted Digital Attestations,通过 Sigstore 将 Trusted Publishing 和软件包分发联系起来,利用密钥签名将分发包的身份(名称和摘要)与其来源(生成它的 GitHub 仓库或其他来源)进行加密绑定。
Sigstore 是一种免费且与生态系统无关的软件签名服务,它使开发者能够签署、验证和保护他们的软件项目及其依赖项。
本文介绍了PyPI(Python Package Index)上新的、更安全的身份验证方法——“可信发布”。它基于OpenID Connect (OIDC) 构建,无需长期存在的APIToken和密码,降低了供应链攻击和凭据泄露的风险,简化了发布工作流程,允许CI/CD系统安全地发布包而无需共享密钥。文章还探讨了可信发布的安全模型、潜在威胁及应对措施。
该文章是BlockThreat发布的一篇安全周报,内容涵盖了加密货币领域的最新安全事件、犯罪活动、网络钓鱼、诈骗以及恶意软件等信息。此外,还包括一些研究论文、安全工具以及媒体报道,例如Bitrue被攻击事件,以及关于Cosmos,Solana,Uniswap V4, NFT智能合约安全等方向的研究。
flashbots
Trail of Bits
blockthreat