● CNCF 与 Kusari 达成合作，共同强化云原生项目的软件供应链安全

📌 一句话摘要 CNCF 与 Kusari 达成合作，旨在为云原生项目提供 AI 驱动的安全工具，重点关注复杂依赖生态系统的安全保障及供应链溯源的自动化。 📝 详细摘要 云原生计算基金会（CNCF）与 Kusari 宣布建立战略合作伙伴关系，旨在提升 CNCF 托管项目的软件供应链安全。通过免费

● 利用 GitHub Copilot CLI 自动化安全分拣

📌 一句话摘要 GitHub 宣布 Copilot CLI 推出新功能，支持直接从终端自动化执行安全扫描、OWASP 映射以及批量创建 Issue。 📝 详细摘要 本次更新为 GitHub Copilot CLI 引入了改进的安全工作流，旨在解决日益堆积的安全债。核心功能包括运行全面的安全扫描、

● 寻求恶意依赖扫描工具的推荐

📌 一句话摘要 Gergely Orosz 向社区征求建议，寻找能够扫描 PR 或代码仓库以防范恶意依赖的工具。 📝 详细摘要 作者征求关于自动化安全扫描工具的建议，用于扫描 Pull Request (PR) 和代码仓库，以缓解供应链攻击。他特别寻找超越简单版本锁定的替代方案。此查询旨在寻找稳

● 依赖扫描工具汇总列表

📌 一句话摘要 根据社区回复整理的、用于扫描 PR 和代码仓库以防范恶意依赖的工具列表。 📝 详细摘要 这条后续推文整理了一份依赖扫描安全工具清单，包括 Snyk、Datadog、GitHub Advanced Security 等，这些都是基于原推文下社区的推荐。这对开发者来说是一份宝贵的资源

● 我们准备好迎接像 Log4Shell 那样的下一次网络安全危机了吗？

📌 一句话摘要 本次演讲探讨了像 Log4Shell 这类软件供应链攻击的持续威胁，并提供了一个利用 SBOM 和依赖扫描等工具的分层防御战略框架。 📝 详细摘要 解决方案架构师 Soroosh Khodami 警告称，大多数组织仍未为下一次重大网络安全危机做好准备。通过演示由简单的 Maven

● 安全与架构：背叛一方即是摧毁两者

📌 一句话摘要 本文探讨了安全与架构之间至关重要却常被割裂的关系，指出了三种系统性的“背叛”——物理、情感和信任背叛，并提出了五种防御策略，旨在构建一个具有韧性且协作紧密的统一体。 📝 详细摘要 资深架构师兼安全专家 Shana Dacres-Lawrence 分析了当安全与架构无法对齐时所产生

● 圆桌讨论：应对现代威胁的安全性

📌 一句话摘要 一组安全专家探讨了现代软件供应链威胁，强调了零信任（Zero Trust）、安全设计原则以及将安全性集成到开发人员工作流程中。 📝 详细摘要 本次 InfoQ 圆桌讨论汇集了来自 Snyk、Johnson Matthey、EPAM 和 Sage 的安全从业者，共同探讨现代威胁的演

● GitHub 开源 Security Lab Taskflow Agent

📌 一句话摘要 GitHub 已开源其 Security Lab Taskflow Agent，这是一个旨在检测身份验证绕过 (Auth Bypasses) 和 IDOR 等复杂漏洞的 AI 驱动框架。 📝 详细摘要 GitHub 正式开源了 Security Lab Taskflow Agen

● Cursor 发布安全智能体自动化模板

📌 一句话摘要 Cursor 宣布在其代码库中部署了持续运行的安全智能体集群，并分享了自动化模板，方便用户实现类似的系统。 📝 详细摘要 Cursor 开发了一套专门的 AI 安全智能体“集群”，旨在对其代码库进行持续扫描以识别漏洞。在完成这一内部里程碑的同时，他们还发布了全新的自动化模板，赋能