jimmyleeee的专栏

在CVSS 4里，如果针对一个漏洞进行评估，就必须要带上使用打分的命名，例如：一个漏洞在CVSS-B基础上评估的分数，需要加上CVSS-B，否则，就不知道具体使用的是哪些指标进行评估的。由此，可以推断出，针对Basic Metrics的打分，由于没有区分当前系统和受影响的相关系统，就默认对受影响的相关系统有较高的影响（个人猜测），导致分数偏高。在本片文章主要是集中在两者在应用上会有何不同以及在使用CVSS4的时候，有什么注意事项，最后，也通过一个例子尝试计算两个版本之间计算的CVSS分数的差异。

中描述了CVSS3的缺点，以及CVSS4相对CVSS3做了哪些改进和带来了哪些优点。但是具体CVSS4针对CVSS3做了哪些改动，还没有详细列举出来。本文主要是针对CVSS4和CVSS的打分的大项和小项进行逐一对比，列出来具体增加和删除了哪些项目。白色：没有更改的项目。

CVSS提供了一种标准化的方法，帮助组织和安全专业人员了解漏洞的风险级别，从而做出更有效的安全决策。通过引入新的指标、调整评分计算方式、解决现有问题和提高易用性，CVSS 4.0为组织和安全专业人员提供了更好的工具来评估和管理软件安全漏洞的风险。更精细的评分粒度：通过引入新的指标和调整现有指标，提高了评分的粒度和精确度。由于综上所述的原因，导致了CVSS3.1有评估的分数不能充分反映漏洞的可能的真实的影响结果，导致评估出来的分数不能充分和实际的结果相对应，进而影响了对漏洞的处理措施。

最近，在学习一些机器学习的相关知识，在Github上居然找到了一个可以下载一些不错的介绍机器学习和大数据挖掘和分析的书籍。

把JDK8的项目升级到JDK17的过程和注意事项。

在决定对Gihub的graphql进行扫描时，需要检测是否有Repo在扫描的范围之外，检测出可能遗漏的Repository，同时又需要排除一些私有的Repo。在这里可以看到Repo的三个可见性的属性：INTERNAL，PRIVATE和PUBLIC。Github的Repository分为三种类型，主要是用于决定谁可以访问、查看和克隆该仓库。在这里可以了解到，一个repo是否是private不能通过privacy来判断，但是可以通过visibility来获取。于是，再进一步查询手册，发现有一个可以获取整个。

Pandas是一个用于数据科学的开源Python库。这个库在整个数据科学行业被广泛使用。它是一个快速和非常强大的python工具来执行数据分析。Pandas为我们提供了读取、过滤、检查、操作、分析和绘制数据的命令。它使用内置函数加载以各种文件格式存储的数据，如csv, json, text等，作为pandas数据框架结构。 本文主要是介绍几种过滤数据的方法。

对于SAST工具而言，对框架的支持非常重要，它可以有效地发现基于某些框架的漏洞，而且现在系统的开发为了提高开发效率，基本上没有从0开始的，都是基于框架的，因此，对于框架的支持程度对于扫描结果的影响很大。Semgrep是在本地扫描，然后将扫描的结果发送到Semgrep的云上，通过Web Portal再显示扫描结果，虽然在数据流里显示了具体的文件与行号，但是，由于不能和源代码联动，在做甄别问题时，就显得比较费劲，如果上传代码到云上，又有泄露的安全风险。本文列列举了工具的各个方面的比较，比较的方面和结果如下。

使用笔记本电脑曾经连接过一些无线路由器，时间久了，密码可能就忘记了。再使用其他设备连接时，就需要尝试去找到这个密码。本片文章就是通过几个命令快速找到之前使用笔记本电脑曾经连接过的无线网络的密码。

本篇文章主要是针对如果真正autofix需要解决哪些有挑战的问题进行探讨。

目前市场上有些产品提出创新的功能就是自动修复，核心功能就是发现有问题的代码，然后自动修复，或者半自动修复。这个功能听起来很美好，工具扫描发现了问题，然后不需要开发人员的干预，自动修复检测到的问题。有的工具甚至还号称“100%的扫描准确度，自动化代码修复”。本文章就是尝试通过对几种号称可以自动修复的工具的调查，看看他们实际的自动修复是什么？是否可以达到预期的宣传的那样。

接下来就需要一个简单的方法，把后面的空的cell的内容填上，这样通过公式计算UniqueKey时，就可以很容易。虽然Excel也提供了可以使用其他的Cell的值填充空白Cell的值，但是操作步骤有点作，而且对于操作有几千上万行的excel文件来说，太不方便，万一出错，就需要重来一遍。如果UniqueKey有重复的，就可以通过Excel的去重复数据的功能，直接将重复的行去掉。正好学习了pandas库，发现用它的dataframe可以很轻松地实现。几行代码就可以轻松搞定几万行的文件的数据处理！

本文主要是探讨如何解决xlrd.biffh.XLRDError: Can't find workbook in 0LE2 compound document 错误。

这种攻击的有效性远高于密码分析的数学方法，因此给密码设备带来了严重的威胁。这种攻击不是基于协议或算法设计本身的缺陷（例如，密码算法的密码分析中发现的缺陷），也不是实现中的小错误或疏忽，而是基于计算机协议或算法实现方式的本质方式。这种攻击不是基于协议或算法设计本身的缺陷（例如，密码算法的密码分析中发现的缺陷），也不是实现中的小错误或疏忽，而是基于计算机协议或算法实现方式的本质方式。Side Channel攻击的条件是能够建立泄漏的物理信号与处理的数据之间的联系，以及处理的数据与芯片中的数据之间的联系。

本文主要是介绍如何解决python安装过程中遇到的urllib3 的版本不匹配的问题。

在使用一个静态扫描工具时，报了一个SSRF的问题，经过数据流的分析，导致此工具报SSRF的原因是在调用URIBuilder的setPath函数时，参数是从请求里获取的，导致了数据流被污染，因此认为由URIBuilder构造的URL也被污染，最终导致URIBuilder构造出来的URI被污染，所以，认为可能会导致SSRF问题。通过以上实现可以看出，针对URL中的Path的处理是不安全的，但是对Parameter的处理是安全的。可以看出这里的路径如预料的一样没有被处理。

结果中不仅给了严重的级别，还提供了CVSS，最为重要的是它提供了EPSS，EPSS（漏洞利用预测评分系统）是一种利用CVE信息和真实世界的攻击数据来预测漏洞是否以及何时会被利用的系统。它是一款由OWASP提供的一款免费的查找整个项目含有哪些组件和CVE的工具，根据可能性提供了可能的CVE列表，显示的结果可以是HTML和JSON。不过，针对输出结果需要进一步解析才能得到最直观的信息。不过这个网站用起来不太方便，如果有具体的CVE查找还比较方便，如果查找其他的信息，例如：组件名称和版本以及时间，就不太方便了。

无密码认证是一种新兴的安全技术和身份认证手段，是用密码以外的东西验证软件用户身份的过程，旨在替代传统的用户账号和密码认证方法，提高账号的安全性和用户体验。无密码技术通过生物识别、多因素认证、基于硬件设备的认证等方法来实现身份验证和授权，可以减少由于密码泄露、用户的疏忽或恶意攻击等因素导致的安全问题。本文主要介绍了无密码认证的概念、类型、威胁和相关的预防措施。

本文主要是通过多种方法比较excel中的两列数据的不同，可以用于比较两列或者多列的数据的不同。

pandas的dataframe提供了多种方法获取其中数据的行的数量，本偏文章就是介绍几种获取dataframe行和列出量的方法。