![](https://img-blog.csdnimg.cn/20190918140012416.png?x-oss-process=image/resize,m_fixed,h_224,w_224)
安全洞察
文章平均质量分 90
洞察前沿安全相关技术,指导落地与实践
筑梦之月
10+年网络安全领域大厂工作经验,国际注册信息系统安全专家CISSP证书持有者,研究生国家奖学金获得者,发表多篇SCI论文及专利,专注于SDL、DevSecOps、安全体系构建、安全工具等网络安全垂直知识分享与交流。
展开
-
网络安全领域六大顶级会议详细介绍
从事网络安全工作,以下六个顶会必须要知道,很多安全的前沿技术都会在如下会议中产生与公开,如下会议发表论文大部分可以公开下载。这些会议不仅是学术研究人员展示最新研究成果的平台,也是行业专家进行面对面交流和洽谈业务合作的重要契机。通过参加这些顶级会议,参与者可以了解最新的安全趋势和工具,推动网络安全领域的发展。原创 2024-06-06 08:09:35 · 849 阅读 · 0 评论 -
一文读懂通用漏洞评分系统CVSS4.0:顺带理清CVE、CWE及其与CVSS之间的关系
在计算机科学中,漏洞是削弱系统整体安全性的缺陷或故障。漏洞可能是硬件本身或在其上运行的软件的弱点。CVE全称是Common Vulnerabilities and Exposures,即通用漏洞披露,它是MITRE公司维护和更新的安全漏洞列表,列表中的每个条目都会有一个唯一的CVE编号,即CVE ID,供安全研究员和受攻击的软件供应商使用,以便确定和回应安全漏洞。CVE条目包含了与CVE ID相关的漏洞的描述性数据(即简要描述和至少一个参考)。原创 2024-05-14 21:58:05 · 1625 阅读 · 0 评论 -
NIST权威漏洞库NVD竟存在大量CVE分析积压问题,NVD未来将何去何从,会不会运营中断?安全界纷纷支招
美国国家标准与技术研究院 (NIST) 运营的世界上最全面的漏洞数据库国家漏洞数据库 (NVD) 开始面临漏洞丰富的挑战。根据其自己的数据,NIST 仅分析了今年迄今为止收到的 14,228 个常见漏洞和暴露 (CVE) 中的 4523 个,分析占比不足32%。据了解NIST内部目前正在发生一些神秘的事情,如果此类问题不能迅速解决,可能会对安全研究人员社区和全球所有组织产生重大影响,甚至可能会使许多组织容易受到威胁行为者的攻击。原创 2024-05-14 07:40:00 · 939 阅读 · 0 评论 -
「 安全设计 」68家国内外科技巨头和安全巨头参与了CISA发起的安全设计承诺,包含MFA、默认密码、CVE、VDP等七大承诺目标
美国网络安全和基础设施安全局(CISA,CyberSecurity & Infrastructure Security Agency)于2024年5月开始呼吁企业是时候将网络安全融入到技术产品的设计和制造中了,CISA于近期发起了安全设计承诺行动,该承诺旨在补充和建立现有的软件安全最佳实践,包括 CISA、NIST、其他联邦机构开发的最佳实践以及国际和行业最佳实践。 CISA 继续支持采用补充措施,以推进安全的设计态势。目前国外主流安全厂商(如Veracode、Sonatype、Qualys)原创 2024-05-12 22:04:41 · 842 阅读 · 1 评论 -
『 论文解读 』大语言模型(LLM)代理能够自主地利用1 day漏洞,利用成功率竟高达87%,单次利用成本仅8.8美元
该论文主要展示了大语言模型LLM代理能够自主利用现实世界的 1 day 漏洞。研究我发现, GPT-4 在提供了CVE描述的情况下,能够成功利用 87% 的漏洞。 这与其他测试模型(如 GPT-3.5 和其他开源 LLM )以及开源漏洞扫描器(如 OWASP ZAP、Metasploit)的 0% 成功率形成鲜明对比。这一发现引发了关于高能力 LLM 代理广泛部署的问题和讨论。原创 2024-04-21 07:16:37 · 1172 阅读 · 0 评论 -
微软 SDL 安全研发生命周期详解
微软SDL(Security Development Lifecycle)是一种安全软件开发的方法论,它强调在整个产品开发过程中融入安全考虑因素。SDL 是一个动态的过程,包括多个阶段和活动,以确保产品的安全开发、测试、部署和运行。Microsoft 要求所有开发团队都必须遵守 SDL 流程和要求,从而获得更安全的软件,并降低开发成本,减少严重漏洞。当前多数大型企业都借鉴SDL构建了适应于企业内部的安全研发流程。原创 2024-04-15 22:25:43 · 2063 阅读 · 1 评论 -
如何应对程序员裁员潮:技术变革下的职业危机
2023年也被称为“通用人工智能大模型元年”,因为全球通用人工智能大模型强势崛起,席卷全球,成为2023年最值得关注的AI事件。在这一年,人工智能技术在全球范围内飞速发展,渗透到各行各业。例如,谷歌、微软、Meta、百度、阿里巴巴、科大讯飞、腾讯、小米等企业紧随其后,开启了全球的「百模大战」。而人工智能、AIGC、AGI,也一度成为了贯穿2023年的「热词」,加上全球经济下滑,从而加剧了程序员裁员潮。原创 2024-01-23 22:40:07 · 487 阅读 · 0 评论 -
【解读】中国DevOps现状调查报告2023之安全管理
引言:信息院2023年发布的《中国 DevOps 现状调查报告·2023》洞察报告中有8页都在介绍安全管理,即DevSecOps中的Sec部分,我们可以推断出DevSecOps是DevOps演进的必然结果,DevSecOps的重点就是把安全无缝柔和到敏捷和DevOps开发中,实现研发安全运营一体化。以下博文中的统计数据全部源自于《中国 DevOps 现状调查报告·2023》,报告原件可。原创 2023-12-20 21:09:03 · 580 阅读 · 0 评论 -
【解读】Gartner 2023 DevOps平台魔法四象限
Gartner将DevOps平台定义为那些提供完全集成功能的平台,以使用敏捷和DevOps实践实现软件的连续交付。这些功能涵盖了软件开发生命周期(SDLC)的各个方面,包括产品规划、版本控制、持续集成、测试自动化、持续部署、发布协调、自动化安全和合规策略、监控和可观察性。DevOps平台支持团队协作、安全的软件开发和软件交付指标的度量。组织使用DevOps平台可最大限度地减少由于复杂的工具链、手动切换和整个SDLC缺乏一致可见性而导致的工具摩擦。这使产品团队能够在不影响质量的情况下更快地为客户提供价值。原创 2024-03-17 18:14:22 · 1207 阅读 · 1 评论 -
【解读】保障软件供应链安全:SBOM推荐实践指南(含指南获取链接)
该指南旨在帮助组织快速启动其 SBOM 项目,并有效管理与开源软件相关的风险。开源软件管理;创建和维护公司内部安全的开源存储库;维护、支持和危机管理;SBOM 创建、验证和制品。原创 2024-03-17 11:53:04 · 1338 阅读 · 0 评论 -
解读 | Synopsys发布2024年开源安全和风险分析报告OSSRA
软件供应链管理中,许可证和安全合规性至关重要。开源组件和库可降低风险,但需了解许可证内容。Synopsys 2023年审计发现,超过一半的代码库存在许可证冲突。MIT许可证是最常用的宽松许可证,但也与其他许可证存在不兼容风险。原创 2024-03-15 21:25:16 · 1446 阅读 · 0 评论 -
【解读】NIST网络安全框架CSF 2.0
NIST的网络安全框架(CSF)旨在帮助所有组织(不仅仅是关键基础设施中的组织,以及其最初的目标受众)管理和降低风险。NIST于2024年更新了广泛使用的网络安全框架CSF,发布了CSF 2.0,成为了降低网络安全风险的里程碑式指导文件,点此获取CSF 2.0官方文档(访问密码:6277)。治理是指建立和监控组织的信息安全风险管理战略、期望和政策。治理功能是跨领域的,并提供结果以告知组织将如何在其使命和干系人期望的背景下实现其他五个功能(识别、保护、检测、响应、恢复)的结果并对其进行优先级排序。原创 2024-03-15 08:13:33 · 1576 阅读 · 1 评论 -
大语言模型LLM如何赋能安全?当前有哪些探索与实践?
大模型通过赋能安全,如代码补丁自动生成、安全功能代码生成、恶意代码分析、代码相似性分析、事件关联分析等,来驱动安全。大模型可以基于计算机程序代码作为语料进行预训练或优化训练,从而实现自动化修复安全漏洞、生成安全功能代码等功能。此外,大模型还可以通过自然语言文本自然语言标签、安全功能代码理解、恶意代码分析等手段,实现对安全漏洞的检测和修复。原创 2024-03-11 22:22:12 · 1818 阅读 · 0 评论 -
【解读】OWASP大语言模型应用程序十大风险
OWASP大型语言模型应用程序前十名项目旨在教育开发人员、设计师、架构师、经理和组织在部署和管理大型语言模型(LLM)时的潜在安全风险。该项目提供了LLM应用程序中常见的十大最关键漏洞的列表,强调了它们的潜在影响、易利用性和在现实应用程序中的普遍性。原创 2024-03-09 13:19:01 · 1339 阅读 · 0 评论 -
【解读】OWASP 大语言模型(LLM)安全测评基准V1.0
大语言模型(LLM,Large Language Model)是指参数量巨大、能够处理海量数据的模型, 此类模型通常具有大规模的参数,使得它们能够处理更复杂的问题,并学习更广泛的知识。自2022 年以来,LLM技术在得到了广泛的应用和发展,GPT 系列模型因其惊人的语言生成能力获得世界瞩目,国内外各大厂商也在此领域展开了激烈竞争。2023 年 8 月 15 日,国家六个部委发布的《生成式人工智能服务管理暂行办法》正式施行,。原创 2024-03-09 11:29:58 · 1911 阅读 · 0 评论 -
【解读】2023年全球DevSecOps现状调查
DevSecOps是DevOps方法论的延伸,旨在向多个团队灌输安全文化,并且尽早在DevOps环境中通过一致的方式来解决安全问题。通过将安全实践集成到软件开发生命周期(SDLC)和CI管道中,DevSecOps旨在将安全性从一个独立的阶段转变为开发生命周期的一部分。2023年Synopsys发布了全球DevSecOps现状调查报告,涉及来自自全球不同国家1000+ IT专业人员,报告中的要点总结如下。原创 2023-12-17 17:09:19 · 1081 阅读 · 0 评论