- 博客(11)
- 收藏
- 关注
RSS订阅原创 【开源治理系列】开源技术管理工具详细设计
甲方单位扫描服务收集代码仓库信息或手动提交仓库信息,将需要扫描的仓库信息通过数据队列同步到开源技术管理工具,平台内通过漏洞扫描等工具,对队列中的扫描信息进行漏洞扫描,结果汇总,数据筛选,报告等下载,同是同步漏洞信息到数据统计提供分析。动态采集、更新分布在个机构、环境下的应用系统工程代码内、应用系统服务器内、办公设备内(PC/移动端)、组件私服仓库(Nexus RM)内、软件仓库内以及流程管理系统内的开源资产。并对采集的信息进行资产管理,形成资产台账,并进行汇总统计分析,为开源资产的使用和管理提供有效支持。
2024-11-21 23:53:07
546
原创 【开源治理系列】开源治理平台的总体架构设计
开源技术管理工具包含基础能力:用户认证中心认证包含登录认证,用户管理,角色管理,权限管理,统计分析模块包含软件统计,组件统计,协议统计,漏洞统计,应用系统统计,供应商统计,引入评估效率统计,漏洞响应效率统计,以及其他能力模块:扫描策略配置,退出策略配置,安全预检策略,黑白名单配置,智能推荐,系统日志,消息通知,评论评价等基础能力服务,安全风险扫描模块对接SCA漏洞扫描工具对软件、组件进行预检扫描和定期检测功能。主要是系统运行所需要的环境,以及系统使用到的数据存储,文件存储,以及消息中间件。
2024-11-21 23:41:00
961
原创 开源技术管理工具总体设计
标准规范了企业在组织机制、管理制度、风险管理、软件测评选型、技术使用管理、技术运维管理、定期健康评估和软件退出管理、存量软件管理、外包软件管理等方面应具备的能力,适用于企业规范开源软件管理策略,帮助企业构建和提升开源软件治理能力。设置相关组织机构、制定相关规范手册指导,指导、规范开源软件及开源组件的使用,推进开源治理工作的开展。针对本项目需求,建设组织级开源技术管理工具,通过工具强化开源资产管理、风险管控、知识管理等能力,实现对开源软件及组件的申请、预检、评估、入库、使用、维护及出库等的全生命周期管控。
2024-11-20 21:33:25
674
原创 开源技术管理工具需求分析
需对金融单位的开源资产进行自动发现、集中管理,并进行可视化汇总展示,为开源资产的使用和管理提供有效支持。开源资产范围包括:开源软件、开源组件以及开源成分(包括开源软件内部、三方软件内部、及三方组件内部依赖的开源成分)以及对应的申请、安装、使用等相关信息。另外开源许可协议资料、开源技术相关资料及开源管理资料等也属于开源资产。开源软件资产主要分布在应用系统服务器内、办公设备内(PC/移动端)、软件仓库及流程管理系统内。
2024-11-20 21:16:37
1254
原创 金融行业的开源治理现状及挑战
随着数字化场景爆发,知名分析机构预测未来 5 年的创新应用总数会多于过去 40 年,整个IT 技术栈将出现巨大的需求缺口,以基础软件为例,传统商业软件缓慢的开发节奏将无法满足新一代的数字化场景需求,那么以开源技术形成创新技术引擎将成为未来数字化创新的常态。这份报告中的数据显示已经有 98%的金融服务企业正在使用企业开源组件。为提升开源技术管理和服务的工作质效,强化开源技术供应链的透明化管理,计划在开源软件及开源组件的选型、评估、入库、使用、维护、退出及风险处置等方面建设组织级技术管理工具。
2024-11-20 13:53:34
738
原创 利用威胁风险建模,提升集权类系统风险发现能力
目前xx没有统一的身份管理系统,身份认证和管理分别由其他部门自建的身份认证系统承载,短期内无法改变目前分散认证的模式,针对目前现状提出了统一的账号异动识别规则,形成“分散认证,集中风控”的安全管理模式,具体策略包括三点:一是统一应用账号管理日志格式,将不同认证源的日志信息标准化,将账号的变更等应用信息同步到日志分析系统;账号异常仅仅是表面现象,需要结合态势感知的能力将账号异常与目标主机、目标流量日志进行关联分析,发现可能存在的巨大风险,形成威胁建模结合大数据分析深度发现风险的能力。
2024-11-19 15:27:12
629
原创 构建内存级防护能力,提升无文件WebShell防护能力
二是监控点和Hook组件运营,持续加强应用的兼容性,我单位自主研发Hook组件持续完善加强RASP的监控能力,目前RASP支持的采集信息包括:HTTP 请求、WEB业务文件操作、WEB业务命令执行、WEB业务网络连接、WEB业务数据库请求,监控点包括:FileInputStream、FileOutputStream、ProcessImpl、net.Socket.connect、MysqlConnection、OracleSql、WLSInputStream、HttpServlet等。
2024-11-19 13:48:09
721
原创 云原生应用安全防护能力的提升
随着云计算大步迈向“云原生”,面向云的安全也在悄然发生变革。云原生架构已经成IT基础设施建设的重点,但也是遭受网络攻击最多、监管要求最高的,因此云原生安全正面临来自监管和实战的双重挑战,这就对云原生使用场景下的安全防护能力提出了新的需求。我行开展了云基础设施从虚拟机、云主机转变为容器升级工作,安全需求也随之发生变化,逐步从云旁挂的模式转向云原生安全。随着云环境的升级,我们对于云安全风险提出了新的认识:风险一,攻击者利用恶意镜像进行挖矿、传播恶意文件、勒索病毒、逃逸到主机系统做恶意攻击等;风险二,
2024-11-19 13:32:17
1068
原创 “标本兼治”的供应链安全防护策略
协同供应链厂商开展敏感信息泄露风险排查,对泄露的源代码进行评估,要求供应链厂商开展安全漏洞风险排查,对已知漏洞风险进行排查并出具渗透测试报告和代码审计报告,要求共同完成应急演练,确定攻防演练接口人,对供应链漏洞和供应链信息泄露事件开展应急演练;近年来,全球针对软件供应链的安全事件频发,影响巨大,软件供应链安全已然成为一个全球性问题,同时软件供应链成为攻防演习中常见攻击方式,涉及到“上”“中”“下”游的各类供应链的攻击,如何更加全面、高效地保障软件供应链的安全对于我行软数字化进程推进具有重要意义。
2024-11-19 13:27:53
334
原创 API防控体系实战总结
同时,利用大数据日志平台,对泄漏的数据进行追踪溯源,找到泄漏的源头,针对性的来进行修复,避免大规模的数据泄漏事件发生。根据业务数据分类分级的情况,诸如:个人客户信息(姓名、证件号码、家庭住址、工作单位、联系信息等)对公客户信息(客户名称、营业执照编号、股东名称、公司高管证件号码)账户类、交易类、产品类、合约类、机构类、渠道类、公共类信息根据敏感程度进行分级,根据不同级别对不同的API制定差异化的数据交换保护策略,采用脱敏、匿名化、去标识化、数据加密、传输通道加密等方式对数据加以保护。
2024-11-19 13:23:00
851
2025年Gartner重要战略技术趋势及对企业数字化转型的影响
2024-11-19
中国信息通信研究院发布的云原生应用保护平台(CNAPP) 能力评测标准及流程
2024-11-19
国防部企业级DevSecOps基础知识与应用指南
2024-11-19
DevSecOps战略实施指南与关键实践
2024-11-19
《网络数据安全管理条例》:全面规范网络数据处理,保护个人隐私和数据安全
2024-11-19
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人