《中国民航报》、中国民航网 记者钱擘 通讯员 庄述棉、严婷 报道：近日，"东航数科开源软件治理体 系建设实践"项目，成功入选由中国信息通信研究院联合中国互联网协会发起的"OSCAR开源+安全及风 险治理"典型案例。 中国信息通信研究院联合中国互联网协会发起的"OSCAR开源+安全及风险治理"具有相当高的行业权威 性，东航数科项目此次获评入选典型案例，体现了行业对东航在开源技术融合创新实践领域的高度认 可，也充分展现东航正有效破解开源软件应用中的安全漏洞、合规风险、系统稳定性及兼容性等难题， 从而有力保障软件供应链安全。 东航数科在开源治理体系建设领域的创新实践，通过构建标准化流程框架与自动化工具平台，不仅有效 提升软件供应链全生命周期安全管理水平，更有助于增强旅客对航空数字化服务的可信度与透明度，从 而强化旅客信息安全保障，并且为航空等高监管行业提供了极具价值的范本。（编辑：贾昊天 校对： 李海燕 审核：韩磊） OSCAR是互联网和AI领域重要的开源项目，随着开源软件在技术创新中的应用逐步深化，其潜在的安 全漏洞和合规性风险等问题逐渐显现。为化解挑战，东航数科构建严格的治理框架，依托软件供应链安 全检测平台， ...

近日，有网络安全研究人员标记出三个恶意的 npm（Node.js 包管理器）软件包，这些软件包的攻击 目标是一款颇受欢迎的由 AI 驱动的源代码编辑器 Cursor，且针对的是苹果 macOS 版本用户。 迄今 为止，这三个软件包的下载量总共已超过 3200 次。 软件供应链安全公司 Socket 的研究人员 Kirill Boychenko 表示："这些软件包伪装成提供'最便宜的 Cursor API'的开发者工具，窃取用户凭据，从由威胁行为者控制的基础设施中获取有效加密负载， 覆盖 Cursor 的 main.js 文件，并禁用自动更新以保持其持续性。" 整理 | 华卫 Cursor 用户被"劫持"全过程 有问题的软件包如下所列：sw-cur （2,771 次下载）、sw-cur1 （307 次下载） 和 aiide-cur （163 下载）。值得注意的是，目前这三个软件包仍可以继续从 npm 注册表下载。 其中，"aiide-cur "于今年 2 月 14 日首次发布，是由一个名为"aiide"的用户上传的，其 npm 库被描述 为"用于配置 macOS 版本的光标编辑器的命令行工具"。另外两个软件包则 ...