安全要闻
关注
分享
扫一扫
文章平均质量分 76
GitMore
代码/开源/网络安全/DevSecOps/基础软件/软件供应链
展开
-
警惕:2023年每月新增1900个危险漏洞
比2022年增长13%,其中高危漏洞270个、严重高危漏洞155个。原创 2023-02-08 10:25:27 · 550 阅读 · 0 评论 -
微软S2C2F框架已被OpenSSF开源安全体系采用
S2C2F自2019年提出后,一直作为微软的一项内部倡议,直至此次被OpenSSF采用,它专注于开发集成人员对开源软件(OSS)使用的安全。原创 2022-11-29 09:36:35 · 411 阅读 · 0 评论 -
一种在行末隐藏有效载荷的新供应链攻击技术研判
近期,Phylum检测到数十个新发布的Pypi软件包执行供应链攻击原创 2022-11-22 09:36:45 · 293 阅读 · 0 评论 -
DevSecOps-你需要知道的一切
在过去的几年中,DevSecOps 已经成为 DevOps 生态系统中最热门的流行词之一。原创 2022-11-07 10:28:10 · 811 阅读 · 0 评论 -
OpenSSL 针对2个新的高严重性漏洞发布补丁
OpenSSL 项目在其广泛使用的加密库中推出了包含两个高严重性缺陷的修复程序,这两个缺陷可能导致拒绝服务(DoS)和远程代码执行。原创 2022-11-02 10:02:59 · 432 阅读 · 0 评论 -
美国政府备忘录中的软件自我认证
该备忘录指示政府机构要求软件供应商自行证明他们已经遵守了NIST安全软件开发指南,机构在使用新软件之前必须获得该软件的自我认证。原创 2022-09-29 10:26:11 · 499 阅读 · 0 评论 -
NIST SP 800-161r1中的C-SCRM
今年5月初,NIST更新了关于整个网络供应链管理安全风险的建议。这份名为SP 800-161r1的文件中重点关注了C-SCRM(网络软件安全供应链风险管理实践)。原创 2022-09-15 09:38:19 · 1467 阅读 · 0 评论 -
如何在你的开源项目中添加开源许可证
如何将许可证分配给开源项目?原创 2022-09-13 09:12:23 · 1686 阅读 · 0 评论 -
揭开CVSS的神秘面纱
CVSS(TheCommon Vulnerability Scoring System通用漏洞评分系统)是一个行业标准,由FIRST.org编写并更新。原创 2022-08-19 08:56:27 · 4047 阅读 · 0 评论 -
Spring爆出“核弹”级0day高危漏洞
Spring官方日前在github上更新了一条可能导致命令执行漏洞的修复代码,该漏洞目前在互联网中已被成功验证。研究机构将该漏洞评价为高危级。对于应用JDK版本号为9及以上的企业,建议尽快开展Spring框架使用情况的排查与漏洞处置工作。......原创 2022-07-29 08:54:34 · 1095 阅读 · 0 评论 -
CVE是什么?
CVE的相关基础知识原创 2022-07-21 10:06:19 · 2322 阅读 · 0 评论 -
GitLab远程代码执行漏洞风险提示(CVE-2022-2185)
近日, GitLab 官方发布了安全公告,修复了 GitLab 社区版(CE)和企业版(EE)中的一个远程代码执行漏洞(CVE-2022-2185),CVSS 评分 9.9,该漏洞源于授权用户可以导入恶意制作的项目导致远程代码执行,成功利用此漏洞的攻击者可获得服务器权限。目前官方已发布安全版本,建议受影响的用户尽快采取安全措施。...原创 2022-07-05 08:52:16 · 4508 阅读 · 0 评论 -
【安全要闻】PHP多个远程代码执行漏洞风险预警
5月16日,PHP官方收到了一份报告,报告中提出关于PHP8.1.6版本,存在远程代码执行漏洞。经PHP官方确认,于6月9日,PHP官网发布了该漏洞的修复方案。原创 2022-06-16 15:40:37 · 573 阅读 · 0 评论 -
2021最新 OWASP TOP 10 LIST和国产化应对措施
开放网络应用安全项目(OWASP)最近更新了4年后对网络应用最严重的10大安全风险。这是自2003年推出该名单以来改动最大的一次,这些变化无疑将对未来企业如何处理应用程序安全性产生重大影响。本文将带领大家梳理这些OWASP TOP 10 LIST的新变化,以及介绍一种企业应对这些潜在安全风险的最佳实践。...原创 2022-06-15 15:48:19 · 367 阅读 · 0 评论 -
管理开源风险指南
本文将介绍一些将开源代码合并到更大的代码库中的最常见风险。同时,泛联新安还将为您提供确保开源代码安全的最佳实践。原创 2022-06-14 09:06:19 · 846 阅读 · 1 评论 -
Symbiote:一个针对拉丁美洲金融部门的隐形 Linux 恶意软件
网络安全研究人员揭开了他们所谓的“几乎不可能检测到”的 Linux 恶意软件的面纱,这种软件可以被武器化,用于后门受感染的系统。这种被威胁情报公司 BlackBerry 和 Intezer 称为“共生体”(Symbiote)的隐形恶意软件之所以得名,是因为它能够将自己隐藏在正在运行的进程和网络流量中,像寄生虫一样耗尽受害者的资源。...原创 2022-06-10 15:56:28 · 232 阅读 · 0 评论 -
没错,容器很棒,但也要注意安全风险
今天,容器已经彻底改变了开发过程,并成为了DevOps模式的基石。但是容器带来的复杂安全风险并不总是显而易见,没有考虑到这些潜在威胁的组织非常容易受到恶意攻击。在本文中,我将介绍容器是如何促进敏捷开发的,容器带来了哪些特殊的安全风险,以及组织可以做什么来保证容器化工作负荷的安全,从而超越DevOps达到理想的DevSecOps。...原创 2022-06-07 14:16:01 · 351 阅读 · 0 评论 -
GitLab针对关键账户接管漏洞发布安全补丁
GitLab 已着手解决其服务中的一个关键安全漏洞,如果该漏洞被成功利用,可能导致用户账户被接管。原创 2022-06-06 09:38:58 · 333 阅读 · 0 评论 -
新的未修补的Horde Webmail漏洞可以让黑客通过发送邮件接管服务器
开放源码的Horde Webmail客户端发现一个新的未修补的安全漏洞,黑客只需向受害者发送一封特制的电子邮件,就可以利用这个漏洞在电子邮件伺服器上远程执行代码。原创 2022-06-02 08:56:00 · 1233 阅读 · 0 评论 -
我们问了1000名CIOs对于软件供应链的看法...
我们问了1000名CIOs对于软件供应链的看法,结果是一张强烈的不信任票。原创 2022-06-01 11:36:48 · 150 阅读 · 0 评论 -
微软 Office 中的零日漏洞: “ Follina”将在宏被禁用时工作
信息安全网的研究人员在微软无处不在的 Office 软件中发现了一个零日代码执行漏洞。原创 2022-05-31 15:58:35 · 352 阅读 · 0 评论 -
Fastjson反序列化漏洞风险预警
近日,Fastjson Develop Team发布安全公告,修复了一个存在于Fastjson1.2.80及之前版本中的反序列化漏洞。暂时存在该漏洞的用户也不用担心,由于目前没有在野的漏洞利用POC,不必担心该漏洞被大面积利用。本文会根据官方给出的建议,详尽的告知修复方案。原创 2022-05-27 18:17:22 · 1292 阅读 · 0 评论