olivesun88的博客

原创 产品会修改所有开源组件漏洞吗？

我觉得这是根本不现实的，目前开源代码这么多，频繁的升级开源组件，产品稳定性根本无法保证。所以我觉得修改所有开源组件漏洞根本就是不现实的。产品会修改所有开源组件漏洞吗？

原创 爱立信PSIRT

如何访问，在爱立信官网的about us里 security中。

原创 diary 12,May

my nephew don't pass the interview, because his major is far from requirement. the recruit enviroment is bad , he is unemployment for long time , keep it on ,work hard. today is my daughter's birthday,she is 18,and will enter the unversity entrance exma

原创 获取最新的CVE信息

获取最新的CVE信息。

原创 惊人的视力恢复眼球操

原创 The best practice forHandling and resolving vuln

Certainly!

原创 PSIRT Weekly Report - need to modify

【代码】PSIRT Weekly Report - need to modify。

原创 月份的英文单词

januaryfebmarchaprilmay五月junejulyaugustseptemberoctobernovemberdecember。

原创 【无标题】二次元相关词汇

• ACGN：动画（Animation）、漫画（Comic）、游戏（Game）、小说（Novel）的首字母缩写。• OP/ED：片头曲（Opening Song）/片尾曲（Ending Song）• CV：Character Voice 的缩写，意为“声音出演”• Ending Theme：片尾曲。• Director：监督（导演）• Animation：动画。• Character：角色。• Cartoon：卡通。• Anime：动画片。• Comic：漫画。• Novel：小说。

原创 self-introduction as a member of PSIRT

Hello, my name is [Your Name] and I am a member of the Product Security Incident Response Team (PSIRT).As part of the PSIRT, I am responsible for coordinating the response to security incidents and vulnerabilities related to our organization's products and

原创 AI写的PSIRT员工英文自我介绍

Hello,John Doe。

原创 改进后的获取NVD最近时段内发布，并且携带CPE信息的漏洞清单

'virtualMatchString': 'cpe:2.3:*:*:*:*:*:*:*' #只有cpe有相关信息才输出，因为当前nvd的漏洞分析基本上暂停了。#'resultsPerPage': 10, # 每次请求返回的漏洞数量，可以根据需要调整，没有key一次最多输出2000个。#使用requests库来发送HTTP请求，并使用json库来解析返回的JSON数据。#要通过Python实现使用NVD API获取最新发布且带有CPE信息的漏洞，# 提取带有CPE信息的漏洞。# 解析返回的JSON数据。

原创 PYTHON 访问NVD获取漏洞信息保存到本地数据库

db_config = {'host': '127.0.0.1', 'port': '5432', 'user': 'nvd', 'password': '自定义密码', 'db_name': 'nvd', 'db_table': 'nvd', 'start_year': 2020, 'end_year': 2021}vuln_level = cve['impact']['baseMetricV3']['cvssV3']['baseSeverity'] # 漏洞等级。

原创 Python实现使用NVD API获取最新发布且带有CPE信息的漏洞

这段代码首先设置了NVD API的URL和请求参数，包括开始和结束日期，以获取指定时间范围内的漏洞数据。然后，它发送一个GET请求到NVD API，并检查响应状态码是否为200（表示成功）。如果成功，它解析返回的JSON数据，并遍历每个漏洞条目来查找带有CPE信息的条目。此外，由于NVD API可能发生变化或有限制（例如请求频率限制），你可能需要查阅最新的NVD API文档以获取最新的信息。最后，记得遵守NVD API的使用条款和政策，确保你的使用是合法和合规的。库来解析返回的JSON数据。

原创 漏洞端到端管理小总结

漏洞端到端管理最佳实践涵盖了从漏洞的发现、分析、修复到监控的整个过程，确保组织能够及时发现并应对安全威胁。通过这些最佳实践，组织可以建立一个高效、可靠的漏洞端到端管理体系，有效应对潜在的安全威胁，保护组织的资产和数据安全。

原创 NVD API

NVD API接口说明，这里有一些范例。

原创 漏洞修复优先级考虑-不错的思路

GitHub - TURROKS/CVE_Prioritizer: Streamline vulnerability patching with CVSS, EPSS, and CISA's Known Exploited Vulnerabilities. Prioritize actions based on real-time threat information, gain a competitive advantage, and stay informed about the latest tren

原创 20240424 diary

解释：看起来这里是想表达“detect the incident and vulnerability”（检测和发现事件及漏洞），但是“vunl”是拼写错误，正确的单词是“vulnerability”。解释：“forth”是拼写错误，正确的是“fourth”。解释：主语“I”是单数，所以动词应该用“define”而不是“defines”。解释：“evalue”是拼写错误，正确的单词是“evaluate”。这句话是正确的，表达了对安全事件的响应是PSIRT工作的第三部分。制作看板对整个研发过程进行度量。

原创 PSIRT相关词汇

containment 抑制，遏e制。remediation 补救。triage 美 /triːˈɑːʒ 治疗。

原创 PSIRT相关规范和标准

信息安全管理体系（ISMS）的标准，它提供了一套全面的、系统的框架，帮助组织建立、实施、运行、监控、审查、维护和改进其信息安全管理体系。需要注意的是，PSIRT的规范和标准并非一成不变，随着技术的发展和威胁环境的变化，这些标准和最佳实践也在不断更新和完善。FIRST发布了一系列关于安全事件响应的标准、最佳实践和工具，这些对PSIRT的工作具有重要的指导意义。： 欧洲网络安全与信息局（ENISA）也发布了一系列关于网络安全和事件响应的指南，这些指南对PSIRT的组建、运作和最佳实践提供了有价值的建议。

原创 PSIRT工作岗位职责（英文描述）

PSIRT, which stands for Product Security Incident Response Team, is a crucial unit within an organization dedicated to addressing and managing security incidents related to the company's products or services. The team plays a pivotal role in ensuring the c

原创 introduce my work

vuln should be processed(处理) correctly and timly.forth:supervise(监督) of the whole vuln's process。improve the vuln process continuously.(持续）

原创 20240420 diary

introducing the rules and 流程 flow？and working range.what a beautiful and fulfilling(充实） day!

原创 20240419 today record

例如，“meet”改为“met”，因为描述的是过去的事件；“display more and clear work”改为“display my work in a more clear way”，使表达更清晰；“he slept till 10”中的“till”应改为“until”，虽然两者意思相近，但“until”更常用；“discoverage 鼓励”这部分完全不符合英语表达习惯，我将其改为“This action should be encouraged”，意思是“这个行为应该被鼓励”。

原创 每日英语20240418

bean is failed in exam,she is very dispointted and frustrated(受挫）a friend is in need is friend indeed 患难见真情。fluent(顺利）

原创 【无标题】权威解读是传统文化相关。给大家贴个链接~

权威！2022年高考语文全国卷试题评析

原创 寄生虫电影

寄生虫19年出品基宇（崔宇植 饰）出生在一个贫穷的家庭之中，和妹妹基婷（朴素丹 饰）以及父母在狭窄的地下室里过着相依为命的日子。一天，基宇的同学上门拜访，他告诉基宇，自己在一个有钱人家里给他们的女儿做家教，太太是一个头脑简单出手又阔绰的女人，因为自己要出国留学，所以将家教的职位暂时转交给基宇。　　就这样，基宇来到了朴社长（李善均 饰）家中，并且见到了他的太太（赵汝贞 饰），没过多久，基宇的妹妹和父母也如同寄生虫一般的进入了朴社长家里工作。然而，他们的野心并没有止步于此，基宇更是和大小姐坠入了爱河。随着时间的

原创 英语作文万里

你一会看我一会看云我觉得你看我时很远你看云时很近这是顾城的一首简短的小诗“远和近”；天边的云很远，然而却比站在你面前的我显得更近。为什么会这样？youOne will look at meOne will look at the cloudsI thinkYou look at me far awayYou look closely when you look at the cloudsThis is a short poem by Gu Cheng, "Far and Near"

原创 万里标题作文

古代万卷是指皇帝的试卷。读书为了进京赶考，金榜题名。早在唐朝，诗圣杜甫《奉赠韦左丞丈二十二韵》中有诗句:"读书破万卷，下笔如有神。"而“读万卷书，行万里路”出自明朝画家董其昌《画旨》："画家六法，一曰'气韵生动'。'气韵'不可学，此生而知之，自然天授。然亦有学得处，读万卷书，行万里路，胸中脱去尘浊，自然丘壑内营。成立郛郭，随手写去，皆为山水传神。关于“读万卷书，行万里路”这句话，有一个更完整的说法：“读万卷书不如行万里路，行万里路不如阅人无数，阅人无数不如名师指路，名师指路不如自己来悟。”

原创 英语单词记录

20220208freak out 吓坏了forte - it is not really my forte 专长，特长the pearl river delta 珠江三角洲soybean 大豆黄豆网络地瓜；红薯；蕃薯 sweet potatoes

原创 CVSS得分计算公式

CVSS得分计算公式BaseMetrics计算方式基础分（Base Score，简称BS）是通过影响子因子分数（Impactsubscore，简称ISC）和可用性子因子分数（Exploitabilitysubscore，简称ESC）计算出来的。其中，ESC=8.22*AV*AC*PR*UI(AV-attackvector，AC-attackcomplexity，RP-Privilegesrequired，UI-userinteraction)ISCBase=1-[...

原创 session和cookie

原创 IDS IPS介绍

一、IDS入侵检测（旁路部署）专业上讲IDS是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。打个比喻——假如防火墙是一幢大厦的门锁，那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。与防火墙不同的是，IDS入侵检测系统是一个旁路监听设备，没有也不需要跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署的唯一要求是：ID

原创 GPL MPL BSD

BSD开源协议BSD开源协议是一个给于使用者很大自由的协议。基本上使用者可以”为所欲为”,可以自由的使用，修改源代码，也可以将修改后的代码作为开源或者专有软件再发布。但”为所欲为”的前提当你发布使用了BSD协议的代码，或则以BSD协议代码为基础做二次开发自己的产品时，需要满足三个条件： 如果再发布的产品中包含源代码，则在源代码中必须带有原来代码中的BSD协议。 如果再发布的只是二进制类库/软件，则需要在类库/软件的文档和版权声明中包含原来代码中的BSD协议。 不可以用开源代码...

原创 安全发展轨迹

白帽子成长之路方向web安全 内网安全 无线安全 安卓/ios安全逆向 云计算安全 区块链安全 工控安全就业（仅供参考）渗透测试工程师 （1-3年 本科）10-15K 渗透测试专家 （5-10年 本科） 15-25K 二进制安全研究员（经验不限 本科）10-18K 源代码审计工程师（3-5年 本科） 10-15K 应急响应工程师（经验不限，学历不限）12-20K...

原创 安全术语和概念

WAFWeb应用防护系统（Web Application Firewall, 简称：WAF）企业等用户一般采用防火墙作为安全保障体系的第一道防线。. 但是在现实中，Web服务器和应用存在各种各样的安全问题，并随着黑客技术的进步也变得更加难以预防，因为这些问题是普通防火墙难以检测和阻断的，由此产生了WAF（Web应用防护系统）。. Web应用防护系统（Web Application Firewall, 简称：WAF）代表了一类新兴的信息安全技术，用以解决诸如防火墙一类传统设备束手无策的Web应用安全问

原创 2021-08-23

PPT的一些建议：三个问题多用图，一个画面胜过千言万语，一个老年人打的要有数据提问题要开玩笑，演进比其他人好，准备一些素材，好玩的wonderlist工作生活的一些建议：情感，行走江湖一个稳字努力工作是为了下面的这些场景老罗负责软件人机交互，工业设计工程师很少被批，领导针对不理解的领域就不会发表太多一定会容忍几年，抓紧学习一些内容...

原创 内存泄漏定位思路和方法

内存泄漏定位思路和方法本文主要针对基于Linux操作系统，提供了一种通用的内存泄漏定位分析思路和方法。1. 查看内存概况[root@centos ~]# free total used free shared buff/cache availableMem: 1883844 376664 76136 192 1431044 1311252Swap: ...

原创 linux通过meminfo 与 slab 定位内存泄漏

linux通过meminfo 与 slab 定位内存泄漏前言问题真是一个接一个，做开发就是解决一个又一个问题吗？像死机、内存泄漏这些问题很多时候是没有框架、设计或有了框架和设计但是团队没有统一遵循标准按着自己性子来导致的，统一的框架和设计也许会损失一定的灵活性，但是他会让你在编码的时候遵从一定的范式，且通过规范格式可以做到良好的自检查，例如将一个代码的实现分别放在A、B、C三个地方，A、B、C、分别干啥，接口是啥，A、B、C的范例等都在框架和设计中定义好了，每个编码人员按这个进行具体的开发编码工

原创 地名容易读错的字

100个中国最难读的地名，第一个就读错了...2020-07-23 21:45地名是历史的精髓要素之一。中国地名体现了中国历史上的民族融合、疆域政区的变化、传统文化的观念，是中国历史文化的重要组成部分。这100个最容易读错的中国地名，看完后，绝对让你心生感慨：读万卷书不如行万里路！1.浙江丽水的丽，读lí，不读lì。2.浙江台州、天台的台，读tāi，不读tái。3.浙江嵊州的嵊，读shèng。4.浙江鄞县的鄞，读yín，不读jín。5.浙江乐清的乐，读yuè，不读lè。.