『安全热点周报第120期』:GitHub推出安全实验室，提升代码共享生态安全

GitHub推出安全实验室，提升代码共享生态安全

GitHub 最近推出了 GitHub Security Lab，该实验室为安全研究人员和开发者修复漏洞和共享专业知识提供空间，旨在改善 GitHub 代码共享生态系统整体安全性。GitHub 是4000万的开发人员的代码库，有诸多流行的开源项目，GitHub Security Lab 将帮助安全团队识别并报告开源软件中的漏洞，使开发人员更容易使用 GitHub 来修复漏洞和项目。GitHub 将其自动化安全更新功能从测试版带入基本可用的版本。该功能可以推送漏洞通知，更重要的是，还包含了能够“将脆弱依赖更新至已修复版本”的拉取请求，使得开发人员可以具备快速响应的能力。此外 GitHub 在两个月前已成为CVE编号的发布机构，可以在需要的时候发布CVE编号，这使得GitHub可以更好的推进开源项目的安全性。

微软身份威胁研究团队从多个不同泄露源获取的数据中获得了十亿个凭据，并查找其中与Mircosoft相关的凭据后得出结论：由于使用了泄露的密码，有4400万个Mircosoft Azure AD 和 Mircosoft Services 账户容易遭受到账户劫持。微软为保护用户，将强制普通用户重置密码，对于企业，微软将会把相关账户标记为高风险并通知管理员以作提醒。

美国国防部计划通过为其承包商引入网络安全认证计划来保护其供应链安全。该计划（网络安全成熟度模型认证，或称CMMC计划）将获取安全性作为基础，并将各种网络安全标准合并为一个统一的标准，由美国国防工业等部门合作开发，将于2020年6月启动。其核心为国防供应商要证明其已采取了合理的步骤来保护计算机网络免受网络攻击。

Python的安全团队从其官方的第三方软件存储库PyPi中删除了两个存在木马后门的Python库：python3-dateutil （模仿流行的python dateutil库的python3版本）和 jeIlyfish（模仿jellyfish）。恶意的攻击人员，将这两个名称与流行库高度相似的恶意库混入PyPi中，并从被感染这些库的开发项目中窃取SSH和GPG密钥。

据国外媒体报导，莫斯科城市里由超过175000台摄像机组成的城市监控系统的访问权限和存储视频，在地下交易市场和Messenger群组上出售。据知悉，该监控系统可连接到俄罗斯警方的面部识别系统，可从镜头中提取数据并进行面部识别。该技术也被非法人员用来提供单独的面部识别查询服务。据调查发现，非法卖方部分为执法人员和政府官员。

近日，某单位在中勒索病毒后，花费197万人民币购买了解密密钥。在此次事件中，该单位历时一天17小时28分钟，经过多次谈判和交易，最终以197万元拿到了解密密钥，目前尚不知悉涉事单位。近年来，勒索病毒攻击事件在国内频频发生，奇安信安全监测与响应中心提醒各企业增强其内部安全能力，从而抵抗风险。

Reddit发布安全公告表示，有俄罗斯相关的Reddit用户在多个热门版块不断发布此前泄露的英国政府文档，并操纵Reddit的投票系统来突出显示该文件的内容。据报道，该文档来自英国国际贸易部记录了美国和英国之间就未来贸易协定进行的谈判，疑似指证“保守党政府将同意美国公司染指英国国民保健体制（NHS）”。