在过去几年里,勒索软件一直是企业安全团队关心的头等大事,而当前软件漏洞问题数量也在逐渐抬头。基于云的应用程序和服务的爆发式增长以及数字化工作的增加,对黑客来说是一大利好,他们正在利用开发人员和 DevOps 团队快速迭代的工作来满足他们的企图。有人估计说,过去十年里40%的零日攻击都发生在2021年
CircleCI 作为业内最受欢迎的 CI/CD 平台提供商之一,有超过20万个 DevOps 团队使用其平台。该公司在今年1月在其官网报告了一起安全事件引起客户恐慌。在此事件中,有身份不明的恶意攻击者入侵了一名员工的笔记本电脑,利用恶意软件窃取了员工的 2FA 支持的单点登陆会话 cookie,使
今天,我们很高兴宣布 Seal 0.4 已正式发布!在上一个版本中,Seal 完成了从单一产品到全链路平台的转变,通过全局视图帮助用户掌握软件开发生命周期各个环节的安全状况。 在 Seal 0.4 中,全局视图将再一步升级,软件供应链全链路的安全洞察得到进一步增强,新版本为用户提供了软件供应链知识图
在之前的文章中,我们了解了应用部署的阶段以及常见的部署模式,包括微服务架构的应用应该如何部署等基本内容。本篇文章将介绍如何安全地部署应用程序。 安全是软件开发生命周期(SDLC)中的关键部分,同时也需要成为 SDLC 中每个环节的一部分,尤其是部署。因此,保障应用部署安全并不是开始于部署阶段,而是从
随着云计算在过去十年中的广泛应用,云计算用户所面临的一个持续不变的趋势是:安全一直是用户面临的首要挑战。然而,这种情况正在发生转变。 知名IT软件企业 Flexera 对云计算决策者进行年度调研已经持续12年,而今年安全问题首次没有成为最大挑战。在3月8日发布的《Flexera 2023年云计算现状
学习&转载文章:对于多方安全计算,你是否也有这样的疑惑? 问题 假设多方安全计算中有两个参与方$P_0$和$P_1$,其中$P_0$拥有$x$,$P_1$拥有$y$,双方想要在不暴露自己拥有的数据的同时计算一个结果$z$,且$z=x+y$。那么不管用哪种协议进行计算得到最终结果$z$,并且公布给双方
> 学习文章:[即时通信的安全加密通信模型研究](https://mp.weixin.qq.com/s/RLmq_yzoUny9_yUpBGzpQA),具体见[原论文](https://kns.cnki.net/kcms2/article/abstract?v=3uoqIhG8C44YLTlOAiT
> 了解密评,参考:https://www.zxcsec.com/Assessment.html ## 什么是商用密码应用安全性评估? 商用密码应用安全性评估(简称“**密评**”)是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的**合规性、正确性、有效性进行评估**。 ## 国
大模型材料收集 360安全大模型 推动大模型 B 端落地,360 想怎么做? 企业安全智控系统 安全问答 安全运营 通用大模型 数据安全问问题 专业知识缺乏 成本控制难 专业大模型 垂直专业性 安全合规性 使用成本 知识确权 B端:面向消费者 C端:面向商家 小米大模型 雷军:小米手机已跑通大模型,
转载:芯安全 新发展 | 国民技术可信计算再上新台阶 引言 8月11日,为期三天的密码与安全行业盛会——“2023商用密码大会”在郑州国际会展中心降下帷幕,首次亮相的可信计算NS350系列TCM2.0密码安全新品等可信计算相关产品与应用案例在展会上尤为受到关注。 中国可信计算核心推动者 国民技术。
## 关键词 - DevSecOps — 在不影响敏捷性的前提下,将安全充分融入到SDLC的所有环节中 - SDLC—软件交付生命周期 - SCA—软件组成分析-用于识别和检测软件中使用的开源/第三方组件的已知安全漏洞 - SAST—静态分析安全测试 - DAS—动态分析安全测试 - IAST—交互
上篇文章,有同学私信想了解有哪些DevSecOps工具,这里整理出来,供大家参考(PS: 非专业安全人士,仅从DevOps建设角度,给出自己见解) 软件中的漏洞和弱点很常见:84%的软件漏洞都是利用应用层的漏洞。软件相关问题的普遍性是使用应用安全测试(AST)工具的主要动机。通过使用AST工具,企业
前言 随着云计算厂商的兴起,云资源如ECS不再只有企业或者公司才会使用,普通人也可以自己买一台ECS来搭建自己的应用或者网站。虽然云计算厂商帮我们做了很多安全相关的工作,但并不代表我们的机器资源就绝对是安全的。 要知道有很多事情是云计算厂商不能为我们做的,就比如账号密码的安全策略配置,而账号密码的安
在黑客安全圈子中,基于内存攻击技术的攻击手段在随着时代的变化而不断发展着,内存攻击是指通过利用软件的安全漏洞,构造恶意的输入,从而使正常程序造成拒绝服务或者是远程获得控制权,内存攻击技术中最先登上历史舞台的就是缓冲区溢出漏洞,时至今日能够被广泛利用的并具有较大破坏性的高危漏洞(CVE)几乎都属于缓冲区溢出。首先读者应该明白缓冲区溢出(Buffer Overflow),它分为栈溢出与堆溢出,此类漏洞
InlineHook 是一种计算机安全编程技术,其原理是在计算机程序执行期间进行拦截、修改、增强现有函数功能。它使用钩子函数(也可以称为回调函数)来截获程序执行的各种事件,并在事件发生前或后进行自定义处理,从而控制或增强程序行为。Hook技术常被用于系统加速、功能增强、等领域。本章将重点讲解Hook是如何实现的,并手动封装实现自己的Hook挂钩模板。首先我们来探索一下Hook技术是如何实现的,如下
InlineHook 是一种计算机安全编程技术,其原理是在计算机程序执行期间进行拦截、修改、增强现有函数功能。它使用钩子函数(也可以称为回调函数)来截获程序执行的各种事件,并在事件发生前或后进行自定义处理,从而控制或增强程序行为。Hook技术常被用于系统加速、功能增强、开发等领域。本章将重点讲解Hook是如何实现的,并手动封装实现自己的Hook挂钩模板。
摘要:根据Forrester的 The State Of Application Security, 2022一文的预测,应用安全性的缺失将仍然是最常见的外部攻击方式,因此SAST将会在可预见的未来一直被重视。 本文分享自华为云社区《SAST-静态应用安全测试》,作者: gentle_zhou 。
摘要:TDSC 2022发表了安全补丁识别最新的方案“Enhancing Security Patch Identification by Capturing Structures in Commits” (E-SPI)。 本文分享自华为云社区《【论文推荐】TDSC2022 安全补丁识别最新的方案E
摘要:主机安全服务以工作负载为中心,解决了混合云、多云数据中心服务器的负载保护,集成了主机、容器和网页防篡改的安全防护。 本文分享自华为云社区《【云图说】 | 第265期 华为云主机安全服务(新版)来啦!》,作者: 阅识风云。 主机安全服务(Host Security Service, HSS)以工
摘要:在高并发环境下如何安全的发布对象实例。 本文分享自华为云社区《【高并发】如何安全的发布对象(含各种单例代码分析)》,作者:冰 河。 今天,为大家带来一篇有技术含量的文章,那就是在高并发环境下如何安全的发布对象实例。 发布对象:使一个对象能够被当前范围之外的代码所使用对象溢出:是一种错误的发布,
