qzt961003的博客

如何有效地对漏洞进行优先排序？

Binarly REsearch团队近日深入研究了最近的OpenSSL安全更新给UEFI固件供应链生态系统带来怎样的影响以及OpenSSL版本在固件环境中是如何广泛使用的。

在过去的几年中，DevSecOps 已经成为 DevOps 生态系统中最热门的流行词之一。

Graph for Understanding Artifact Composition (GUAC) 将软件安全元数据聚合到一个高保真图数据库中——规范化实体身份并映射它们之间的标准关系。查询此图表可以推动更高级别的组织成果，例如审计、政策、风险管理，甚至开发人员协助。

该备忘录指示政府机构要求软件供应商自行证明他们已经遵守了NIST安全软件开发指南，机构在使用新软件之前必须获得该软件的自我认证。

您是否将第三方软件集成到您的应用程序或产品中？您是否知道这个第三方软件是否存在已知漏洞？

如何将许可证分配给开源项目？

NIST 创建了所谓的安全软件开发框架(SSDF)，它描述了一组基于已建立的标准、指导和安全软件开发实践文档的高级实践。或者简单地说，SSDF是一套成熟的SDLC标准模型。

据不完全统计，在一个Java应用程序中，依赖项约占二进制文件的80%-90%。因此，依赖的安全性和可靠性对于Java开发来说，是一个无法规避且十分重要的考量。在本文中，我们将为您提供一些处理Java依赖关系的建议以及自动化工具的最佳实践。

供应链活动包括将原材料、组件和资源转化为成品的每一步，以及将其交付给最终客户。

安全测试工具分为两类：自动化安全测试工具和手工安全测试。而自动化安全测试工具现在市场细分已经非常完善，有诸如SAST、SCA等等工具。手工安全测试一般则指的是渗透测试。

CVSS（TheCommon Vulnerability Scoring System通用漏洞评分系统）是一个行业标准，由FIRST.org编写并更新。

软件成分分析（SCA）中的知识图谱技术优点：软件依赖分析，漏洞追踪预警，软件组件隔离，专家修复建议

多因子SCA检测：源代码SCA和二进制SCA的异同

SCA是什么？SCA的分类？SCA的分级？SCA的流程？怎么选择SCA工具？

CVE的相关基础知识

在本文中，我们将探讨一些汽车行业的软件供应链安全风险问题，这些风险预计就随着持续的技术创新而不断出现，最后我们将介绍SCA如何帮助汽车公司解决这些问题。

在本文中，我们将探讨与SBOM相关的所有内容，包括构成要素、优点、用例和工具模板。

今天，开发人员频繁的在开源软件库的基础上构建web 应用程序。然而，尽管这些库构成了软件物料清单（SBOM）组件库，但并非所有开发人员和业务涉及者都理解第三方库对开源供应链安全的重大影响。考虑到这一点，我们有必要对此进行详细的探讨。...

DevOps定义、DevOps概述、DevOps流程、DevOps优点、DevOps与DevSecOps、DevOps实践、微服务、DevOps文化

开源协议概述：什么是开源协议？开源协议的类型？常用的开源协议有哪些？他们有什么异同？怎么用SCA工具规避开源风险？国产本地化SCA工具，CodeAnt开发安全平台

本文讨论如何管理 Python 依赖项。我们将演示如何使用流行的 pip 工具来管理 Python 中的依赖关系。如果 pip 不能满足您的使用需求，我们还将推荐一些替代方案。以及如何检测python项目中的漏洞

然后，SAST最大的不足之处在于它往往会产生大量的假正例（FalsePositives），浪费开发团队大量的时间。接下来，我会介绍关于SAST FPs的一些基础知识，以及如何避免FPs。

在今天，企业软件项目越来越依赖于第三方和开源组件。这些组件由不受雇于开发主要软件的组织的个人创建和维护，他们不一定使用与组织相同的安全策略。这将会带来潜在的安全风险，因为这些策略之间的差异或不一致可能会导致一些危险的漏洞被忽视。...

开放网络应用安全项目(OWASP)最近更新了4年后对网络应用最严重的10大安全风险。这是自2003年推出该名单以来改动最大的一次，这些变化无疑将对未来企业如何处理应用程序安全性产生重大影响。本文将带领大家梳理这些OWASP TOP 10 LIST的新变化，以及介绍一种企业应对这些潜在安全风险的最佳实践。...

SaaS（Software as a Service软件即服务）是一种精确的云计算服务，它能为用户提供访问供应商云原生平台的机会。SaaS提供了一种有趣的替代方法，可以替代业务环境（传统模型）中的软件安装基准测试。在这种传统模型中，你必须构建服务器、启用和安装应用程序，并最终对其进行配置以便进一步使用。...

对于SDLC的步骤和不同的项目方法（如瀑布、精益和敏捷）来改变我们对它们的看法存在争议。但是在所有这些方法中，我们在项目开始和每个新功能的开发上基本遵循相同的5个步骤。接下来，我们将分解这些阶段，并一一探索其中具体的安全需求...

以下是金融行业内软件安全管理人员常见的一些误区，这些不恰当的见解往往是安全风险的根源所在。

今天，容器已经彻底改变了开发过程，并成为了DevOps模式的基石。但是容器带来的复杂安全风险并不总是显而易见，没有考虑到这些潜在威胁的组织非常容易受到恶意攻击。在本文中，我将介绍容器是如何促进敏捷开发的，容器带来了哪些特殊的安全风险，以及组织可以做什么来保证容器化工作负荷的安全，从而超越DevOps达到理想的DevSecOps。...

在本文中，我们将进一步探讨什么是软件供应链安全，以及为什么它很重要，同时我们可以采用哪些最佳实践，以确保公司和组织免受供应链攻击。

自从Log4Shell远程代码执行漏洞（RCE）的公共利用在2021年12月10日被发现以来，全世界的安全团队一直在争先恐后的了解其环境风险。这种争夺的一部分是为了确定哪些工具最适合帮助检测漏洞，哪些方法最有效，哪些还有缺陷？在这篇短文中，我们将描述Log4Shell漏洞检测的一些方法，并讨论每种方法的优缺点。SCA工具主要关注与第三方库相关的风险。因此，它们非常适合于识别Java应用程序和其他Java代码库中存在的易受攻击的log4j核心组件。

我们问了1000名CIOs对于软件供应链的看法，结果是一张强烈的不信任票。

采用系统的方法解释API是一件非常困难的事，我们不妨先用一个简单的比喻来了解API的实质。无论你用的什么手机，华为也好、苹果也罢，当你需要让自己的手机与电脑进行数据传输时，我们总是需要一条数据线。因此，事实是如此简单，数据线充当的就是API的功能。值得注意的是，API存在的时间与我们拥有编程语言的时间差不多，而且“API经济”作为最近一个热门的领域常常被人们挂在嘴边。这就涉及到了另外一个问题，为什么API如此重要？同样的，我们引用另外一个比喻：在非常早期的时候，汽车制造商是垂直一体化的企业。基本从铁

本文致力于为企业提供 DevOps 工程效率和运维环节（后续简称效维）工具说明及全景图，并结合典型中国互联网研发场景，提出适配不同体量和阶段的企业的效维工具链选型，希望能帮助企业快速满足数字化变革的要求，加速业务发展，引领业务创新。

测试是软件开发过程中的一个关键部分，它允许开发人员验证软件功能、测试性能、并确定哪些缺陷需要纠正。但是，随着软件项目变得日益复杂，传统的手工质量保证测试（QA）已经无法满足开发人员的时间框架需求。因此，我们越来越多的求助于自动化测试工具和工作流，以加快测试方法，同时有效的保证QA过程中的完整性和一致性。

与CSA合作的2022年SaaS安全调查报告于上周新鲜出炉。这份报告审查了SaaS安全在CISOs和当今企业安全人员眼中的状况，并收集了340名CSA成员的匿名回复。该报告不仅研究SaaS安全中日益增长的风险，还研究不同组织目前努力保障自身安全的相关措施。