08 2022 档案
摘要:在许多关于开源项目和社区治理的讨论中,人们往往倾向于把关注放在活动或资源上。虽然了解和记录这些信息十分有用且必要,但它们并不是真正意义上的开源治理。那什么才是开源治理呢? 简而言之,治理(Governance)是根据项目来决定什么人可以做什么或者应该做什么、如何完成以及什么时间完成的规则和策略。而开
阅读全文
摘要:在过去十年里我们见证了越来越多的企业开始或已经采用云技术,这也意味着云安全的重要性也越来越高。当谈及安全威胁,McKinsey 的一篇文章表明,云上大多数漏洞都是由于配置错误导致而非外部攻击造成底层云基础设施损坏。因此,从开发初期就拥有正确安全配置比构建一个安全独立的系统更靠谱、更有效。而实现这的最
阅读全文
摘要:渗透测试和漏洞扫描常常被混淆,这两者都通过探索系统来寻找 IT 基础架构中的弱点及易受攻击的地方。阅读本文,带你了解两者之间的差异与不同。 手动 vs 自动 渗透测试是一种手动安全评估方式,网络安全人员通过此类测试,对系统的安全控制进行评估,包括 web 应用程序、网络和云环境。这种测试可能需要几周
阅读全文
摘要:SolarWinds 网络安全事件的影响,加上 Log4j 漏洞对众多知名企业产生难以估量的后果,使软件供应链安全成为安全领域的热门话题,并且SBOM现在成为网络安全漏洞计划的一个重要组成部分。 SBOM 本质上是构成软件的组件列表,其好处之一是识别潜在的带有漏洞的组件。领先的 SBOM 平台和工具
阅读全文
摘要:第三方风险管理 (Third Party Risk Management, TPRM) 是分析和最小化与外包给第三方供应商或服务提供商的相关风险的过程。比如包括财务、环境、声誉和安全风险。而存在这些风险的原因是供应商拥有权限访问企业的知识产权、敏感数据和个人身份信息 (PII)等。由于第三方关系对业
阅读全文
摘要:Black Hat 大会被公认为世界信息安全行业最权威大会,也是在全球范围内最具有技术性的信息安全大会。Black Hat USA 聚焦网络安全事件,并且持续向外界输出前沿安全技术研究成果以及行业发展趋势分析,吸引着全球各地的安全从业者。 软件供应链安全备受关注 软件供应链安全成为 Black Ha
阅读全文
摘要:攻击面管理(Attack Surface Management)是包含、传输或处理敏感数据的外部数字资产的持续发现、清点、分类、优先级排序和安全监控。2018年,Gartner 倡导企业安全负责人开始监控并严格管理攻击面,并将攻击面管理纳入网络安全风险管理计划的一部分,这也是企业向主动安全转变的开始
阅读全文
摘要:在之前的文章中,我们一起解读了2021年数据成本报告。根据 IBM 和 Ponemon Institute 2021年的报告,全球平均数据泄露成本约为424万美元。为了降低数据泄露造成的成本,企业可以通过多种方式积极主动地保护数据安全。而安全编码(Secure Coding)本身不需要任何成本,这是
阅读全文
摘要:Apache Log4j 和 Log4Shell 两大事件的发生,将软件物料清单(Software Bill of Materials, SBOM)推向安全防护前沿,成为企业保护其软件供应链的方式之一。今年5月,美国总统拜登发布行政命令,要求 IT 供应商必须提供 SBOM 才能够与美国政府进行合作
阅读全文
摘要:什么是特权访问管理(PAM)? 特权访问管理(Privileged Access Management)是一个包含网络安全策略和访问管理工具的解决方案,用于控制和监管和保护具有特权访问权限的用户。在之前的文章中我们了解过身份和访问管理(IAM),而 PAM 则是 IAM 的子集,包含管理特权账户的安
阅读全文
摘要:本文作者 Chris Hughes,Aquia的联合创始人及CISO,拥有近20年的网络安全经验。 SolarWinds 和 Log4j 等影响广泛的软件供应链攻击事件引起了业界对软件供应链安全的关注。许多企业开始让安全团队选型安全工具,以确保第三方软件的安全性。软件的使用无处不在,根据世界经济论坛
阅读全文
摘要:作者简介 冯才效,SEAL 安全工程师,拥有6年云计算领域经验,先后参与 Rancher, Harvester 等开源项目。现致力于编写开发者友好型的软件供应链安全检修工具。 开源软件运动兴起于上个世纪,近几年在国内愈发活跃,各类开源项目如雨后春笋般涌现。与此同时,大部分企业开始拥抱开源。开源软件的
阅读全文
摘要:美国网络安全和基础设施安全局(CISA)和澳大利亚网络安全中心(ACSC)进行了一项关于恶意软件的联合网络安全咨询调查,在报告中详细介绍了2021年最常见的11种恶意软件,包括远程访问木马、银行木马、信息窃取程序和勒索软件。 恶意软件开发人员受益于利润丰厚的网络运营和负面后果风险低,因此在几年内持续
阅读全文
摘要:根据美国国家漏洞数据库(NVD)数据显示,安全漏洞的数量在过去22年内处于持续增加的状态。 图片来源:NVD 随着安全漏洞数量的持续递增,以及近几年内大型安全漏洞事故的发生,让越来越多的企业意识到漏洞管理计划的重要性。企业也开始加倍加强漏洞管理,确保其免受恶意攻击。为了寻找下一个重大漏洞,恶意攻击者
阅读全文
摘要:对于IT从业者来说,Marc Andreessen 十年前提出“软件吞噬世界”的观点早已耳熟能详。无论是私人生活还是公共领域,软件为现代社会的方方面面提供动力,对现代经济和国家安全至关重要。 开源已经吞噬软件世界也是近几年非常流行的观点。Linux 基金会曾预测自由开源软件(FOSS)占现代软件的7
阅读全文
摘要:配置管理(Configuration Management),是一个用于建立和维护产品性能、功能和物理属性,并与其需求、设计和操作信息在整个生命周期内保持一致的系统工程。 配置管理是 ITIL(Information Technology Infrastructure Library)定义的一种 I
阅读全文
摘要:双因子身份验证(Two-Factor Authentication, 2FA)是多因子身份验证(Multi-Factor Authentication, MFA)的一种。这两种身份验证解决方案都需要额外的身份验证因素来保障帐户的安全性。 在区别 2FA 和 MFA 有什么不同之前,我们先来了解身份验
阅读全文
摘要:你知道吗?65%的企业都认为他们无法同时兼顾安全和创新,因为他们认为开发人员需要拥有访问所有资源的权限才能获得更大的开发自由。那么有没有办法既能够确保开发过程的安全性同时也能保留敏捷所需的资源呢?在瞬息万变且日益复杂的云计算生态中能否实现呢?是否同时也让 DevOps 团队便于管理呢?或许我们可以从
阅读全文
摘要:根据 ForgeRock 的研究显示,2022年美国数据泄露的平均成本预计为950万美元,而2021年全球平均成本差不多是这个数字的一半。根据 IBM 和 Ponemon Institute 2021年的报告,全球平均数据泄露成本约为424万美元,比2019年的386万美元增长了10%,创下历史新高
阅读全文
摘要:在软件开发中所面临的新型威胁已经不仅仅与特定的公司相关,整个软件供应链的上下游都已成为攻击者的目标,因此必须保证每个环节的安全性,因为如果一个环节出现问题,一切都会受到影响。 供应链活动包括将原材料、部件和资源转化为完整产品并交付给最终客户的每一步。每个步骤本身都可能是一个复杂的过程,并且有可能导致
阅读全文