产品那些事
文章平均质量分 95
那些年,偶入产品那些事
记录一些关于安全产品的blog
今天是 几号
剑未配妥 出门已是江湖
展开
-
【产品那些事】什么是软件成分分析(SCA)?
在现代软件开发环境中,开发团队经常会依赖于开源的第三方组件来节省时间和提高效率。这些组件本身是由开源社区(Github、Gitee)贡献者来开发,然而,这也带来了一些潜在的安全风险,特别是涉及到供应链安全(这些组件的开发者队安全队安全方面的了解几乎为0、恶意的供应链投毒风险)和第三方组件的质量问题(存在抄袭、开源许可证合规风险)。SCA(Software Composition Analysis)译为软件成分分析,通俗的理解就是通过分析软件包含的一些信息和特征来实现对该软件的识别、管理、追踪的技术。原创 2024-08-29 19:09:40 · 1226 阅读 · 0 评论 -
【产品那些事】The OX Active ASPM Platform
应用安全正处于转型期,传统方法面临挑战。Gartner预测,到2026年,70%的平台团队将集成应用安全工具,显著高于2023年的20%。尽管组织采用了应用安全态势管理(ASPM)和分散的安全测试工具,但这常导致工具泛滥、误报增多和修复困难,反而增加了工作量、延缓了开发进度,并加大了风险。原创 2024-08-14 15:21:23 · 824 阅读 · 0 评论 -
【产品那些事】什么是应用程序安全态势管理(ASPM)?
随着现代软件开发实践的快速演变,特别是在敏捷开发和 DevOps 的推动下,应用程序安全变得更加复杂和动态,传统的安全措施往往难以跟上快速发布和部署的节奏,因此需要一种更综合的方法来管理应用程序的安全态势。应用程序安全态势管理(ASPM)这一概念是由Gartner在2023年提出的。ASPM的出现是为了应对现有的应用安全方法(如应用安全编排与关联(ASOC))在扩展性和应对不断演变的威胁方面的局限性。原创 2024-08-13 16:29:21 · 1165 阅读 · 0 评论 -
【产品那些事】固件安全-关于OTA升级包分析
OTA(Over-the-Air)是一种通过无线通信网络(如Wi-Fi、蜂窝网络)远程下载和安装设备固件或软件更新的方式。这种方式广泛应用于智能手机、物联网设备、汽车电子等领域。小米发烧友估计对此并不陌生,线刷、卡刷、各种系统的刷机包,最近的澎湃OS不知道各位米友试着刷了没有。当然还有路由器、汽车,甚至台灯等各种智能家居,都是通过OTA的方式进行升级更新。这里笔者通过两个固件解压包分析案例,来学习固件安全相关内容。原创 2024-07-16 15:40:36 · 1050 阅读 · 0 评论 -
【开源合规】开源许可证风险场景详细解读
接上篇文章所讲,使用开源组件,忽略开源许可证问题是存在合规风险的,但是关于什么场景下真实存在风险,以及什么样的风险?很多文章也没有讲的很明白,这些内容大部分都隐藏在晦涩难懂的许可证原文里面。通过一段时间的接触,包括收集资料、翻译许可证原文等学习,特此整理了一部分……原创 2024-07-10 17:11:47 · 1427 阅读 · 0 评论 -
【开源合规】开源许可证基础知识与风险场景引入
逛Github时经常看到项目README旁边,有个License tab,不知道大家是不是跟我一样,撇了一眼就过去了,不太清楚这个license具体作用,有点法律意识的朋友可能会意识到这个可能是版权声明,不过难免还是会有其他疑问:既然都开源了,怎么还有各种条件限制?除了GPL还有Apache、MIT等,这些"License"又有哪些区别呢?很多朋友可能像之前的我一样,二开项目或者使用第三方组件时直接拿来就用了,没有考虑过其背后的"风险"……原创 2024-07-02 17:06:10 · 1190 阅读 · 0 评论