Trail of Bits 的文章 - 登链社区

Trail of Bits

TA的文章 TA购买的 TA喜欢的 TA收藏的

可信发布：打包安全的新基准

本文介绍了PyPI（Python Package Index）上新的、更安全的身份验证方法——“可信发布”。它基于OpenID Connect (OIDC) 构建，无需长期存在的APIToken和密码，降低了供应链攻击和凭据泄露的风险，简化了发布工作流程，允许CI/CD系统安全地发布包而无需共享密钥。文章还探讨了可信发布的安全模型、潜在威胁及应对措施。

PyPI 可信发布 OpenID Connect OIDC 供应链安全身份验证

发布于 2023-05-24 22:42 阅读(83) 点赞(0)

分享

cURL审计：一个玩笑如何促成重大发现

Trail of Bits 团队通过对 cURL 命令行接口（CLI）进行模糊测试，发现了多个内存损坏漏洞，包括 use-after-free、double-free 和内存泄漏。

cURL libcurl 模糊测试 AFL++ 内存损坏漏洞

发布于 2023-02-15 12:21 阅读(84) 点赞(0)

分享

我们现在签署代码

Sigstore 是一种免费且与生态系统无关的软件签名服务，它使开发者能够签署、验证和保护他们的软件项目及其依赖项。

Sigstore 软件签名 Fulcio Rekor 代码签名供应链安全

发布于 2022-11-09 22:23 阅读(94) 点赞(0)

分享

影响 Girault、Bulletproofs 和 PlonK 的漏洞的协同披露

Trail of Bits 公开披露了多个零知识证明系统（包括 PlonK 和 Bulletproofs）实现中的严重漏洞，这些漏洞由 Fiat-Shamir 转换的不安全实现引起，允许恶意用户伪造随机语句的证明。

零知识证明 Fiat-Shamir变换 Frozen Heart PLONK Bulletproofs 密码学

发布于 2022-04-14 15:41 阅读(92) 点赞(0)

分享

Trail of Bits

贡献值: 245 学分: 46

https://www.trailofbits.com/

0 关注 0 粉丝