安全乐观主义-CSDN博客

原创突发！腾讯云招聘安全测试工程师，西安、武汉岗位，牛逼白帽子优先

仅西安、武汉岗位：岗位要求：1.熟悉网络安全攻防技术和工具,熟悉常见的Web/移动APP/系统安全漏洞及原理；2.熟悉Java、Go、Node.js至少一门语言，能够独自完成源码审计工作，并熟悉主流框架的风险和原理；3.熟悉使用主流的云产品服务，并具备丰富的渗透测试和漏洞挖掘经验；4.有DevSecOps从业经历，具备良好的团队合作意识和沟通能力；5.加分项：（1）.3年以上互联网行业应用安全...

2024-02-26 18:00:52 343

原创 AWS教你如何做威胁建模

写在前面准备威胁建模组建虚拟团队四个阶段的结构化思考车联网威胁建模例子1、我们在做什么？为车辆登记功能创建系统模型2、会出什么问题？识别功能威胁3、我们要怎么做？确定威胁的优先级并选择环节措施4、我们做得足够好吗？评估威胁建模过程的有效性附录威胁建模模板参考资料AWS教你如何做威胁建模写在前面最近的“AWS re:Inforce 2022”介绍了众多的安全、身份和合规的产品和服务，笔者整...

2022-08-25 18:44:20 1152

转载【文末下载PPT】李中文：软件成分安全分析（SCA）能力的建设与演进

本文首发原作者在CIS 2021的演讲PPT，重点介绍了软件供应链在应用研发过程引入的风险，业界的SCA理念，以及美团安全实际建设过程中遇到的问题和指标体系。不要被理论吓住，SCA没有什么黑科技，没必要想得过于复杂，分确定目标指标，收集资产和情报，确定运营标准，建立平台四步走，花两三年时间简简单单把每一个环节的基本功做好，就能解决问题达成效果。问题解决到一定程度，就有精力...

2022-04-29 10:31:35 575

原创首家网络安全主题博物馆上线啦

首家网络安全主题博物馆为了传播和发展网络安全行业文化，“网络安全博物馆”微信小程序于2022年3月28日上线试运营。今后，作为首家专注于网络安全的线上博物馆，将以端正客观，详实准确的态度为读者们展示广大安全从业者数十年间在网络安全行业艰苦创业，呕心沥血的奋斗历史。重点通过图文讲解的形式介绍在数据安全、关键信息基础设施安全、新兴领域安全、产业安全等领...

2022-03-28 09:48:54 323

原创如何设定合理的安全工作指标

如何设定合理的安全工作指标1. 指标和愿景、目标的联系2. 指标要有明确的价值3. 指标匹配现阶段工作重心4. 指标要同整体规划一致5. 指标必须是可衡量的6. 指标要有反向验证手段7. ...

2022-03-14 12:10:53 6923

转载【安全乐观主义点评】IAST 在去哪儿 Q-SDL 体系中的应用

去哪儿网去哪儿是全球最大的中文在线旅行网站，创立于2005年。去哪儿网为消费者提供国内外特价机票、酒店、旅游度假、景点门票产品一站式预订服务，为旅游行业合作伙伴提供在线技术、移动技术解决方...

2021-12-24 16:03:36 219

原创安全运营项目的工作方法

安全运营是工作的一部分安全工作的逻辑安全团队是怎么运作的定义安全运营项目项目运营的要点计划的计划风险的风险运营方案尽量要评审过程的过程做到有法可依沟通和组织进度的监控明确闭环标准项目集的管...

2021-12-06 10:30:30 1901

原创 A Touch of BeyondProd

Why 关注BeyondProd想象的业务真实的业务云原生时代的挑战面临的难点和挑战Which 架构选择Google基础架构安全设计Google技术沙盘AWS安全设计What Beyond...

2021-10-14 18:50:03 142

原创让安全团队快速倒闭的十条建议

不要学习业界最佳实践安全方案保持超前，不接地气表面省钱，什么都坚持自研安全研发不懂安全，研发安全不懂研发喜欢简单重复，避免自动化以安全自High为中心，避免“客户至上”安全建设的上限是蓝军...

2021-08-31 11:42:20 164

转载必须加强建设DevSecOps的Ops阶段

What 将安全性和可靠性结合Why 错把“DevSec”当成“DevSecOps”How Secure Your Ops安全混沌工程-Security Chaos Engineeri...

2021-08-02 14:31:14 627

原创应用安全的下一个十年

web安全已死Security Mesh可靠与安全性 SRS蓝盒 TMAST权限和访问控制 IAM+数据类应用的安全性 Data Appsec基础架构安全 BeyondProd并不仅仅是...

2021-06-21 11:16:24 125

原创应用安全的创新，Apiiro和WABBI

全部都是破绽误报漏报永无休止缺乏数据协同能力安全对业务的阻碍太大创新沙盒，Apiiro和WABBI什么是RSAC创新沙盒？ApiiroWabbi创新过程参考材料全部都是破绽请大家不要仅仅关...

2021-04-19 19:26:33 558

原创谷歌是如何做应急响应的

简介Google 如何帮助保护客户数据应急响应团队架构应急响应流程识别协调处置完成持续改进总结参考资料简介为客户数据维护安全的环境是 Google Cloud 的首要任务。Google 通...

2021-04-14 20:05:51 573

转载浅谈软件成分分析（SCA）在企业开发安全建设中的落地思路

前言开源软件具有开放、共享、自由等特性，在软件开发中扮演着越来越重要的角色，也是软件供应链的重要组成部分。根据Gartner调查显示，99%的组织在其 IT系统中使用了开源软件。而来自So...

2021-02-10 12:42:25 1575

原创 ThreatSource：Google BeyondProd安全架构详解

安全乐观主义点评：由cnbird鸟哥分享的一份介绍Google BeyondProd实现的ppt，笔者遗憾没有现场听到具体的内容，ppt下面的“安全乐观主义点评”字样为小编的发散思考，并...

2020-11-23 18:12:08 1159 1

原创从gRPC安全设计理解双向证书方案

序言安全需求安全方案敏感数据加密传输认证鉴权数据完整性和一致性证书的基本原理单向证书双向证书gRPC安全机制SSL/TLS认证GoogleOAuth2.0自定义安全认证策略序言网络安全领...

2020-11-02 10:46:17 1509 3

原创基于对象存储隧道的远控工具开源啦

简介使用介绍：Q&A对象存储介绍:对象存储服务是云厂商提供的一种海量、安全、低成本、高可靠的云存储服务，适合存放任意类型的文件。容量和处理能力弹性扩展，多种存储类型供选择，全面优...

2020-10-10 11:20:49 348

原创从安全切面到Security Mesh

安全切面是什么来源于编程概念以Spring Security示例安全领域的切面解读能解决什么？难点在什么？切面安全的未来是Security Mesh安全切面是什么来源于编程概念在...

2020-10-09 09:25:04 1206

原创浅谈华为SDL软件安全工程能力

网络安全和隐私保护是公司的最高纲领安全支撑组织架构SDL实践需求设计开发阶段上线前测试时应急响应供应链安全白盒代码扫描目标建设运营层面代码权限管控安全专家参考资料浅谈华为SDL实践 ...

2020-07-21 20:46:46 1981

转载 DevSecOps in Baidu

作者：Ensec TeamDevSecOps方向：快乐小鱼、oxen、c0debreak、lSHANG、隐形人真忙、arnoxia、KeyKernel、lixin1234qqq、omeg...

2020-07-18 07:19:42 586

转载 Netflix的DevSecOps最佳实践

应用安全早期的安全工作DevSecOps沟通和协作虚拟安全团队云上安全安全隔离原则移除静态密钥凭证管理适当的权限划分混沌工程在安全的使用入侵感知异常模型防ssrf获取凭据办公网安全员工入...

2020-07-17 10:41:26 786

原创周年赠书福利-《互联网安全安全建设从0到1》

公众号赠书福利-《互联网安全安全建设从0到1》书籍介绍章节目录适合人群读后感活动规则安全乐观主义的公众号开通一周年，聚集了国内大量的应用安全从业者，看到近日林鹏大佬的《互联网安全...

2020-07-13 19:39:09 668

转载 DevSecOps在携程的最佳实践

作者简介Living，携程高级基础安全工程师，关注应用安全、渗透测试方面的技术。一、DevSecOps面临的挑战作为业务覆盖机票、酒店、度假、汽车票、火车票、支付等各个方面，为全球用户...

2020-07-09 17:36:10 382

原创《构建安全可靠的系统》-案例研究：Chrome安全团队

背景和团队发展团队v0.1团队v1.0团队v2.0团队v3.0安全审查错误查找和修复架构和漏洞利用缓解可用的安全性Web平台安全安全是团队的责任帮助用户安全浏览网页速度问题深度防御设计透...

2020-06-29 22:14:29 586

原创浅谈漏洞修复的方法论

序言大人，时代变了面临的场景不同技术的不同应该怎么做战略组织技术策略未来的发展是否是创业的方向序言近日在看到安全牛发布的《漏洞管理的八大趋势》，其中提到了“大量数据和案例表明，虽然漏洞评...

2020-06-28 22:49:22 2325

转载从SDL到DevSecOps：腾讯云是如何更早地收敛安全漏洞的？

导语 |随着互联网技术的不断迭代更新，信息安全领域的内涵也在不断发展，安全研发技术的地位也愈加凸显。本文作者来自腾讯安全云鼎实验室，新近参与了《研发运营一体化(DevOps)能力成熟度...

2020-06-10 21:14:02 745

转载【转载】WebShell通用免杀的思考

“阅读本文大概需要 8分钟。” 2020年第 11篇文章，flag继续每周至少更一篇前言良好的习惯是人生产生复利的有力助手最近一段时间，看了很多认知方面的书，对我的...

2020-05-21 10:32:11 279

原创一图看懂API安全

感谢大家点进小编的文章，谢谢啦。大家有什么想法和评论，欢迎在文章结尾下方留言。下面直接进入正文。可能有人不理解，为什么API安全会是什么呢？API安全早期可是世界闻名的，看图片就...

2020-05-18 09:08:15 411

原创研发安全规范宣传月

感谢大家点进小编的文章，谢谢啦。大家有什么想法和评论，欢迎在文章结尾下方留言。下面直接进入正文。可能有人不理解，为什么研发安全意识会要加强呢？研发安全意识早期可是世界闻名的，看...

2020-05-17 14:15:18 260

转载相信技术的力量 - RSAC 2020 (2)

生活总要继续，明天依旧会出现全新的病毒挑战，反思与改进才能令我们不断前行。此次国内研究机构两周内完成病毒分离和基因测序令全球刮目相看，在抗疫中发挥的作用举世皆知。也应该鼓励论文不受限制地...

2020-05-05 17:09:49 1336

原创从儒墨道思想联想到安全工作

儒墨道之争儒家墨家道家玄学千万要不得法家、兵家和纵横家闲谈百家争鸣在春秋战国时期出现的百家争鸣局面可谓是中国文化的黄金时期，成为了中国思想的象征或代表。当时共有十家：阴阳、儒、...

2020-05-04 13:15:40 672

原创 Fastjson究竟犯了哪些错？

安全行业的支柱fastjson究竟犯了哪些错？没有cve编号著作权法规问题漏洞奖励的难处开源项目的生意经结语安全行业的支柱 Fastjson罪大滔天，搞到百姓怨声载道，但其实是安全...

2020-05-03 17:31:40 1481

原创 RSA2020全球信息安全大会PPT下载

前言PPT列表人的因素（Human Element）:DevSecOps 和应用安全（DevSecOps & Application Security）:密码学（Cryptogr...

2020-05-02 15:31:30 753

原创浅谈屏幕拍摄泄密跟踪的检测技术

前言关注屏幕拍照安全检测技术介绍数字盲水印屏幕矢量水印摄像头检测屏摄检测缓解办法参考资料前言近日有新闻《创始人翻墙偷拍竞争对手中电电机涨停开盘》，几个安全微信群里聊到现在的水印...

2020-05-01 23:59:51 8201

原创零信任理念有望缓解fastjson软件漏洞

零信任理念有望缓解fastjson软件漏洞动态信任，缓解漏洞基于线程隔离的资源访问精细化访问控制应急响应平滑下线实时安全策略变更假定被攻击使用高版本的jdk的增加攻击难度使用反序列过滤器...

2020-04-19 11:06:31 259

原创微软在线技术峰会安全类PPT下载

微软技术峰会安全类PPT合集云平台安全响应机制如何通过 SDL和 SecDevOps 实现软件及应用的原生安全SDL是什么SDL的安全实践SDL和DevOps的融合微软如何通过“零信任”...

2020-04-18 12:39:20 453

原创史上最全的zoom漏洞和修复方案介绍

前言ZOOM麻烦不断全部漏洞一览屏幕共享功能中的漏洞漏洞详情修复方案与Facebook 共享数据漏洞详情修复方案参会者注意力跟踪漏洞详情修复方案参与者IP地址泄露漏洞详情修复方案误导性的...

2020-04-06 12:51:03 3672

原创《SDL安全体系实践》话题材料分享

学习材料owasp主动控制项目SDL 成熟度框架:bsimm & OWASP samm威胁建模：McGraw SARA；威胁建模McGrawSARA什么阶段做安全评估适用范围方法...

2020-04-05 22:21:56 1083

转载扯谈SDL（一）

原作者Lancer,原文发表于安全村，原始链接https://www.sec-un.org/%e6%89%af%e8%b0%88sdl%ef%bc%88%e4%b8%80%ef%bc%8...

2020-03-31 08:07:23 370

原创超硬核！使用图数据技术发现软件漏洞

图数据库和图计算介绍痛点和机会基于图数据库的代码分析详细介绍show me the code分析命令执行漏洞优点直观展示漏洞的利用路径通用开源的搭建能力兼容现有的技术方案展望未来参考资料...

2020-03-30 09:59:35 1518

空空如也

空空如也