写点什么

软件安全

3 人感兴趣 · 22 次引用

  • 最新
  • 推荐

渗透测试 vs 漏洞扫描:差异与不同

渗透测试和漏洞扫描常常被混淆,这两者都通过探索系统来寻找 IT 基础架构中的弱点及易受攻击的地方。阅读本文,带你了解两者之间的差异与不同。

权威发布! 开发人员需要关注的 11 种顶级恶意软件

美国网络安全和基础设施安全局(CISA)和澳大利亚网络安全中心(ACSC)进行了一项关于恶意软件的联合网络安全咨询调查,在报告中详细介绍了2021年最常见的11种恶意软件,包括远程访问木马、银行木马、信息窃取程序和勒索软件。

https://static001.geekbang.org/infoq/ce/ce5f01e0f346c0f21980dcdc731eeecb.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

CWE4.8 -- 2022 年危害最大的 25 种软件安全问题

CWE的危害最大的25种软件安全问题是安全从业人员应对软件安全问题和降低软件安全风险的一种实用、方便的数据资源。我们来看下新版的《2022年危害最大的25种安全问题》在安全预防上会给了我们哪些安全提示。

https://static001.geekbang.org/infoq/c6/c6ff6b0743a9bcf966ffc9cc3bc4e896.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

8 个方法管理 GitHub 用户权限

如同世界正在经历的疫情,由于网络攻击的大幅增加,许多公司也遭受着“网络疫情”,保障代码安全迫在眉睫。在之前的文章中我们了解了安全使用 GitHub 的21条最佳实践。阅读本文,将带您了解在代码发布到 GitHub 之前如何管理用户权限。

https://static001.geekbang.org/infoq/56/564f841af889c4ca2b10059e7601ed68.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

密码密钥硬编码检查

摘要:Verizon《2022数据泄露调查报告(DBIR)》指出,61%的数据泄露涉及凭证数据,凭证是犯罪分子最喜欢的数据类型,就像披着羊皮的狼一样,它们的行为在攻击之前显得无害。凭证的泄露是信息泄露的主要途径,内部员工操作不规范、没有养成良好的工作行为习惯

https://static001.geekbang.org/infoq/20/20b33462abc016f614670193d9f9d23c.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

中国信通院首届 3SCON 软件供应链安全会议成功召开 聚焦软件供应链全链路安全

2022年6月17日,由中国信息通信研究院(以下简称“中国信通院”)主办的2022首届3SCON“软件供应链安全论坛”正式召开。

https://static001.geekbang.org/infoq/88/881a0f326e49e82ba839e453b6cf1dfd.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

软件成分分析(SCA)完全指南

上一篇文章中,我们讨论了 DAST 的概念、重要性及其工作原理。那在开发过程中如何查找开源软件包中的漏洞并学习如何修复?本指南带你一起了解 SCA 工具及其最佳实践。

https://static001.geekbang.org/infoq/1c/1c66a4928dc525086c1bf599a8571f2d.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

6 大优势、2 种类型,一文吃透动态应用安全测试(DAST)

在上篇文章中,我们了解了 SAST 的概念、优劣和使用的工具,并在文章里提到了另一个软件安全领域里的重要技术 DAST。本文将会详细介绍 DAST 的概念、重要性及其工作原理。

https://static001.geekbang.org/infoq/fe/fe7e39c9cf688009f5637a62720cefde.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

一文掌握软件安全必备技术 SAST

上一篇文章中,我们讨论了软件供应链的概念并了解到近年来软件供应链安全事件层出不穷。为了保障软件供应链安全,我们需要了解网络安全领域中的一些主要技术。本篇文章将介绍其中一个重要技术——SAST。

https://static001.geekbang.org/infoq/0b/0beed230a4c7946f0eaac5bdc66e5d29.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

工业互联网生态建设加速,小程序容器技术跨端开发特性助力突围

消费互联网红利虽然正在消失,技术的革新有渐进式的交叉,不能一刀切的将消费互联网时代下出现的技术划分为“古早”技术。小程序容器技术,相信在将来工业互联网的跨端研发、终端应用体验、生产软件管控及应用等方面的建设,都能起到不小的作用。

CWE 4.7 中的新视图:工业控制系统的安全漏洞类别

CWE今年的第一个版本在5/1前发布了,做为软件安全的重要分类标准,我们来看下这个版本有那些变化。

https://static001.geekbang.org/infoq/cd/cd9d629bfa362f8b9fbd0f3e52a92d89.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

新思科技 BSIMM 评估为安全团队提供“他山之石”

随着整个行业掀起软件定义汽车的热潮,新思科技相信对软件安全问题的关注只会有增无减。众多物联网垂直行业的企业以及高科技行业生产企业已经采用了BSIMM评估,衡量及创建产品相关的安全活动,而不仅仅是针对软件或应用程序。

https://static001.geekbang.org/infoq/34/34611750dc666bdde2b663eb146742d8.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

新思科技推动 DevSecOps 落地,帮助企业走出“安全孤岛”

新思科技一直致力于帮助企业更快速地构建安全、优质的软件,在推动DevSecOps落地方面有丰富经验。新思科技强调引入DevSecOps可以从源头及时治理安全问题,走出“安全孤岛”。

https://static001.geekbang.org/infoq/cd/cd9d629bfa362f8b9fbd0f3e52a92d89.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

新思科技 BSIMM12 报告显示开源、云、容器安全活动增长显著

BSIMM项目已从2008年的9家参与企业发展到2021年的128家,目前拥有近3,000名软件安全团队成员和6,000多名外围小组(又名安全拥护者)成员。从高管的角度来看,他们可以将BSIMM活动视为在软件安全风险管理框架中实施的控制措施。企业所开展的活动可能会在软件安

CWE4.6 标准中加入 OWASP 2021 TOP10

​​摘要: 新发布的CWE4.6标准,加入了OWASP 2021 TOP10的视图。

https://static001.geekbang.org/infoq/d3/d34ebcd3875daefaf06320f5365852ac.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

鉴释人物 | 专访产品开发总监吴翔:DevSecOps 的竞技之道

用户头像
鉴释
2021-07-22

吴翔是鉴释的产品开发总监,主要负责内部DevOps流程管理、产品测试及客户售后的技术支持和服务。专访产品开发总监吴翔:DevSecOps的竞技之道

https://static001.geekbang.org/infoq/71/71373f4b844140eff197f4463e24d140.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

新思科技凭借 Coverity Scan 帮助 NGINX 确保代码质量和安全

2021年1月, Coverity Scan为NGINX分析了658,665行代码,并发现了各种代码缺陷,其中包括两个CWE Top 25缺陷。由于F5 Networks定期使用Coverity Scan,NGINX项目的缺陷密度(每1,000行代码的缺陷数)仅为0.02%。

https://static001.geekbang.org/infoq/b5/b5349aa39cccd81fef73cc1c01914959.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

软件质量指标自动度量方法

通过设定衡量代码质量的八个度量项来对软件的质量进行量化打分,其设定度量项的标准参考了定义软件质量的ISO25010标准。这篇文章将给大家介绍一下如何通过ISO25010标准来制定以下的质量指标。

SARIF 在应用过程中对深层次需求的实现

摘要: 为了降低各种分析工具的结果汇总到通用工作流程中的成本和复杂性, 业界开始采用静态分析结果交换格式(Static Analysis Results Interchange Format (SARIF))来解决这些问题。

软件安全_软件安全技术文章_InfoQ写作社区