- 博客(67)
- 问答 (1)
- 收藏
- 关注
RSS订阅
原创 为什么世界上最大的公司都实施模糊测试?
智能模糊测试产品—XFuzz”是泛联新安面向动态漏洞挖掘方向的旗舰产品之一,其研发团队成员来自中科院、国防科技大学、清华大学等国内知名研究型院校,将学术界与工业界的特点结合,基于模糊测试技术领域的技术积累,采用大规模分布式并行技术、智能调度算法、自动化漏洞挖掘,极大地解放安全研究员的生产力,提高漏洞挖掘的效率,产品性能已达到国内领先。测试人员定义一个“语法”,指定应用程序接受的输入格式,并可以定义输入的哪些部分应该进行模糊测试。基于语法的模糊器或突变模糊器是根据它们处理测试用例生成的方式来定义的。
2023-07-07 16:40:36
278
原创 《福布斯》:想要创建更好的代码?遵循这 14 个步骤
今天的软件开发人员必须具备才能和创造力才能编写出好的代码。然而,他们自律也很重要。成功的开发人员应该始终学习并遵循当前工作的最佳实践。为了帮助您和您的团队始终如一地创建更好的代码,福布斯技术委员会的 14 位成员分享了他们对开发人员的最佳建议。
2022-09-15 11:05:52
1292
原创 谷歌花54亿美元收购网络安全公司 Mandiant
搜索引擎和技术巨头谷歌宣布以 54 亿美元收购 Mandiant, Inc.,Mandiant 是美国领先的网络安全和威胁情报提供商。
2022-09-14 18:59:31
647
原创 思科确认 Yanluowang 勒索软件泄露被盗公司数据
思科已经确认,9月11日,由Yanluowang 勒索软件团伙泄露的数据是在 5 月的一次网络攻击中从公司网络中窃取的,但并未对业务产生影响。
2022-09-14 18:24:50
347
原创 人是AppSec的核心影响因素
Black Hat主论坛从8月10日开始,各分论坛演讲总计超过80场,主题涉及硬件/固件黑客攻击、零日恶意软件发现,以及重量级APT前沿研究等广泛领域。
2022-08-20 17:32:43
1035
原创 英国国家卫生服务遭受攻击,系统出现大面积故障
英国国家卫生服务(NHS)的111紧急服务受到网络攻击,引发重大影响。目前,服务系统出现持续性中断,该攻击袭击了英国管理服务提供商(MSP)Advanced的系统。
2022-08-08 19:36:28
165
原创 微软新服务,允许企业扩大对其威胁情报库的访问权限
微软已在本月推出两项新服务,允许企业安全运营中心 (SOC) 更广泛地访问该公司每天收集的大量威胁情报。
2022-08-05 17:57:00
271
原创 软件供应链的漏洞及攻击类型
由于互联网信息技术产业的高速发展和软件开发需求的急速扩增,导致软件开发的难度与复杂程度不断加大,软件开发生命周期中的每一个环节都存在引入漏洞的可能性,导致软件供应链的安全风险无处不在,非法攻击者一旦对软件供应链中的任意环节进行攻击、篡改等,都将会引起最终软件供应链安全风险的连锁反应,产生巨大的安全危害。...
2022-08-04 17:44:48
1359
原创 网络安全与基础设施安全局(CISA):两国将在网络安全方面扩大合作
近日美国政府的网络安全机构已与乌克兰网络安全机构签署了一项关于在网络安全方面加强合作的协议。
2022-07-31 14:03:04
1107
原创 泛联新安EDA系列——国内自主研发,首款集成双国军标的HDL代码缺陷管理平台VHawk
泛联新安EDA系列 —— 国内自主研发,首款集成双国军标的HDL代码缺陷管理平台VHawk
2022-07-18 10:32:59
2595
1
转载 如何利用codesense的GJB8114模板对c++源码进行进行规则检测
编程规范或标准的落实,⼀⽅⾯可以使代码开发⼈员在编程过程中遵守规则,从⽽保证代码的可理解性和可维护性,进而提高代码质量;另⼀⽅⾯也可以让测试⼈员按照规则来检查代码,及时发现代码问题。...
2022-07-12 10:23:41
755
转载 潜伏在源代码中的“秘密”如何导致重大漏洞
如果用一个词来概括2021年的信息安全情况,那就是:“供应链攻击”。当黑客操纵第三方软件组件中的代码以侵害使用这些组件的“下游”应用程序时,就会发生软件供应链攻击。在2021年,我们已经看到了这种攻击的戏剧性增长:像SolarWinds、Kaseya和Codecov数据泄露这样引人注目的安全事件已经在一定程度上动摇了企业对第三方服务提供商安全实践的信心。...
2022-07-12 10:13:53
469
转载 守护软件供应链安全
当黑客操纵第三方软件组件中的代码以侵害使用这些组件的“下游”应用程序时,就会发生软件供应链攻击。在2021年,我们已经看到了这种攻击的戏剧性增长:像SolarWinds、Kaseya和Codecov数据泄露这样引人注目的安全事件已经在一定程度上动摇了企业对第三方服务提供商安全实践的信心。...
2022-07-12 10:09:45
260
原创 图灵奖得主珀尔 | 在大数据、概率之外,我们仍需要问因果关系的相关问题
大数据,让我们得以“偷懒”,但因果推理是人类思想中不可或缺的组成部分,应该对其进行形式化和算法化处理,得以实现人类水平的机器智能。
2022-07-03 16:09:50
731
原创 深度学习教父辛顿 | 未来神经网络可以重建人脑意识
“ 这算不算欺骗?我的意思就是说你们正在努力开发很像人脑的东西,但我们并不确定它像大脑。”“ —— 不是这样的。我们所做的研究不是计算机神经科学研究。我们并不是想建一个模型,模拟大脑运行。我们观察大脑,然后说:“这种的方法可行,如果我们想让其它东西同样可行,我们应该从中寻找灵感。”换言之,我们的工作是从神经中寻找灵感,并不是建一个神经模型。神经元有许多的连接,它们的连接会增强,这是事实,我们从这一事实中寻找灵感。”...
2022-06-26 15:58:16
1779
3
翻译 关于安全 | Facebook母公司Meta首次任命该司首席信息安全官CISO
6月6日,Facebook母公司Meta已任命公司副总裁盖伊·罗森Guy Rosen担任首席信息安全官(CISO),这是该社交媒体公司第一个担任该职位的人。
2022-06-09 13:47:01
142
翻译 GitLab 通过安全更新修复帐户接管高危漏洞
据Bleeping Computer网站6月3日消息,GitLab 为其社区版和企业版产品的多个版本发布了关键安全更新,以解决8个漏洞问题,其中一个为账户接管的高危漏洞。
2022-06-07 20:22:27
342
原创 容器非常棒,但更需注意安全
容器已经彻底改变了开发过程,并成为了DevOps模式的基石,但同时,容器带来的复杂安全风险并不总是显而易见,没有考虑到这些潜在威胁的组织非常容易受到恶意攻击。
2022-06-06 18:20:27
145
原创 2022年最实用的DevOps工具
本文致力于为企业提供 DevOps 工程效率和运维环节(后续简称效维)工具说明及全景图,并结合典型中国互联网研发场景,提出适配不同体量和阶段的企业的效维工具链选型,希望能帮助企业快速满足数字化变革的要求,加速业务发展,引领业务创新。...
2022-06-06 18:05:15
336
翻译 2022年SaaS安全调查报告
与CSA(加拿大标准协会)合作的2022年SaaS安全调查报告于两周前已新鲜出炉。该报告审查了SaaS安全在CISOs和当今企业安全人员眼中的状况,并收集了340名CSA成员的匿名回复。该报告不仅研究SaaS安全中日益增长的风险,还研究不同组织目前努力保障自身安全的相关措施。
2022-05-31 10:40:40
132
原创 顶级科学家是哲学家,顶级investor是哲学家
在人类发展历史进程中的某一个点上,出现了一个爱因斯坦式的科学家,给出了一个宏观微观连接的理论体系,被称作一个伟大的偶然。在经济与金融投资的世界里,巴菲特老爷爷说道,宏观的是我们必需接受的,微观才是我们有所作为的。米开朗琪罗《创世纪》AI版情感的是一种智慧(AI)吗?—— 情感或许是人类目前最宝贵的资产之一。MIT媒体实验室前主任伊藤穰一曾如此表达:更多的机器和自动化意味着人与人彼此之间的差异至关重要...“我们要在算法和心法之间,腾出地方,交给AI,人..
2022-05-19 20:43:01
199
原创 《2021年最经常被利用的漏洞》信息发布
2021年网络恶意用户经常利用常见漏洞和暴露(CVE)Top15以及其他经常被利用的CVE的详细信息。
2022-05-07 17:40:01
1333
原创 为什么SAST和SCA在SDLC中很重要?
SAST主要用于测试内部开发的代码,SCA主要用于管理导入的开源组件。同时使用这两种方法,可以同时覆盖这两个领域可能存在的安全漏洞。
2022-05-03 23:57:21
2275
1
原创 学会重构与对比 ——码农鼻祖&天才香农
香农实际上想说的是,要想有好点子,就要善于增加每次输入的精华。如果没有领悟好点子的本质,最终想法可能就会变得平庸。
2022-04-30 22:53:19
991
原创 软件供应链安全——组件漏洞的治理
前 言漏洞库:漏洞数据库,主要指大型的、公开的、业界公认的漏洞数据库。比如NVD、CNVD、exploit-db等。CVE:给每个漏洞确定唯一名称,通过CVE可以帮助安全人员快速在漏洞数据库中找到相应的漏洞信息。CPE:漏洞所关联的产品、版本、依赖路径或命名规范等信息,通过CPE信息,可以知道某个CVE所影响的组件版本和所在产品的依赖路径。CWE:漏洞的类型,比如某3个组件都存在SQL注入漏洞,这3个漏洞的CVE并不相同,但CWE都可描述为CWE-89 SQL...
2022-04-27 22:51:37
2822
1
原创 CWE发布的2021年25条最危险软件错误
CWE是由美国国土安全部国家计算机安全部门资助的软件安全战略性项目。 作为目前最权威的源代码缺陷研究项目,CWE的成果已被越来越多专业人员认可,逐渐成为衡量源代码缺陷检测产品检测能力的重要衡量标准。
2022-04-22 16:22:39
4698
原创 SAST在SDL研发段coding中的作用
安全是一个长期对抗的过程,忽视软件代码自身的安全性,仅依靠外围的防护、问题产生后的修补等方法,恐怕只会造成更多的安全泄露或系统受损,起到的效果也是事半倍功。 持续地关注软件本身的安全漏洞和质量缺陷,是提高软件开发质量和效率的一个有效方式。安全事件 | 短讯:1. 根据一项最新分析,在2020年至2021年疫情期间,向英国数据保护监管机构报告的勒索软件攻击数量增加了一倍多。Ransomware Attacks Soar by 100% in 2021 ...
2022-04-19 08:56:21
200
原创 如何轻松高效地测试
因为测试在提高代码质量上的巨大价值,对于代码编写人员来说,完备的测试是代码质量的有力保证。考虑到与代码联系是否直接、测试内容是否容易实施、质量提升效果是否明显、时间投入性价比等因素,单元测试、静态分析是值得被优先考虑的测试环节,因此主要针对这两个环节介绍一些工具。
2022-04-18 18:00:28
325
转载 关于 Spring framework RCE(CVE-2022-22965)的一些思考
首先漏洞是个非常棒的漏洞,蚂蚁安全团队也算是国内java安全的顶流了,个人也是非常崇拜。但就漏洞影响面而言,感觉还是被大家过于夸大了。从目前已知的利用链来看,需要java9以上才会触发,这就一杆子去掉太多集成化部署的系统了,毕竟大家普遍还是以java8为主流版本。其次SpringMVC加jdk9这个搭配就挺不伦不类的,并且还需要使用spring的参数绑定的路径才能触发漏洞,因此并没有想象中的那么“核弹级”。
2022-04-15 09:38:48
386
空空如也
请问sonarqube社区版6.7,7.9,8.9哪个版本用的人最多, 最好用?
2022-03-25
TA创建的收藏夹 TA关注的收藏夹
TA关注的人