09 2022 档案

摘要:软件包含大量且范围广泛的组件、部分和相互依赖关系。需要有效缓解与使用软件相关的安全风险;需要遵守与组件相关的许可证。通过第三方代码(包括开源软件 (OSS))了解产品中所有项目的出处至关重要,无论这些元素源自企业的团队还是团队之外。确保安全的最佳方法是维护软件中所有组件的当前“成分列表”列表——软件 阅读全文
posted @ 2022-09-30 10:48 Seal软件 阅读(223) 评论(0) 推荐(0) 编辑
摘要:当涉及处理机密信息(如密码、令牌、密钥文件等)等,以下问题值得考虑: 安全性十分重要,但高安全性往往伴随着高度的不便。 在团队中,共享某些密钥有时无法避免(因此现在我们需要考虑在多人之间分发和更新密钥的安全方法)。 具体的密钥通常取决于环境。 目前市面上已经存在许多较为成熟的密钥管理产品,比如 Ha 阅读全文
posted @ 2022-09-29 15:48 Seal软件 阅读(1233) 评论(0) 推荐(0) 编辑
摘要:往往一些成功的软件公司在构建解决方案的时候十分注重其可重复性、可审计性、和简便性,而基础设施即代码(IaC)的出现让开发人员能够将这些时间应用于基础设施的分配。目前的存储 IaC 的实践有以下三种: IaC 与应用程序和功能代码一起存储 IaC 单独存储在特定于应用程序的存储库中 企业中所有应用程序 阅读全文
posted @ 2022-09-28 10:45 Seal软件 阅读(32) 评论(0) 推荐(0) 编辑
摘要:Seal 软件供应链防火墙 v0.2 发布,提供依赖项全局洞察Seal 软件供应链防火墙 v0.2 已于近日发布。这款产品旨在为企业提供代码安全、构建安全、依赖项安全及运行环境安全等4大防护,通过全链路扫描、问题关联及风险组织的方式保护企业软件供应链安全,降低企业安全漏洞修复成本。 通过 Seal 软件供应链防火墙,用户可以获得软件开发生命周期各个环节的可见性 阅读全文
posted @ 2022-09-27 10:16 Seal软件 阅读(198) 评论(0) 推荐(0) 编辑
摘要:随着企业对软件开发的安全意识提高,开发和运维环节中各个团队也开始将安全嵌入他们正在使用或处理的平台或应用程序架构中。不同于各团队把对安全的关注放在自己所处理的环节,首席信息安全官(CISO)需要把握和负责从基础架构团队到应用程序团队等企业内部的所有安全问题。 阅读本文,将带您了解 CISO 需要考虑 阅读全文
posted @ 2022-09-22 11:23 Seal软件 阅读(49) 评论(0) 推荐(0) 编辑
摘要:Scorecard 是 OpenSSF 旗下的开源项目,用于评估开源软件风险,本文由该项目的主要贡献者 Naveen 撰写。 现代软件是建立在数百个甚至数千个第三方开源组件之上的,这些通常被称为依赖项。它们可以帮助开发团队快速迭代并保持生产力。 由于生产力的提升,大部分企业正在快速采用开源软件(OS 阅读全文
posted @ 2022-09-21 12:47 Seal软件 阅读(77) 评论(0) 推荐(0) 编辑
摘要:在之前的文章中,我们分别讨论了漏洞修复和 CVSS 评分系统。而这两部分都是漏洞管理中涉及的关键要素。在今天的文章中,我们将一起系统地了解漏洞管理的概念及过程。 首先来看安全漏洞的概念。安全漏洞是指允许攻击者破坏产品及其持有的信息的技术弱点。为了跟上添加到网络中的新系统、对系统进行的更改以及随着时间 阅读全文
posted @ 2022-09-20 11:09 Seal软件 阅读(248) 评论(0) 推荐(0) 编辑
摘要:通用漏洞评分系统 (CVSS) 是一个公共框架 ,用于评估软件中安全漏洞的严重性。这是一个中立的评分系统,让所有企业能够使用相同的评分框架对各种软件产品(从操作系统、数据库再到 Web 应用程序)的 IT 漏洞进行评分。 为什么企业要采用 CVSS 在没有 CVSS 以前,软件供应商使用自己的方法对 阅读全文
posted @ 2022-09-19 10:34 Seal软件 阅读(770) 评论(0) 推荐(0) 编辑
摘要:许多 SAST 工具都无法避免误报的问题。这些工具经常报告一些实际不存在的漏洞,这种不准确性让安全团队耗费大量时间来对误报进行分类和处理,这时设置误报基准就显得十分必要。 通过设置误报基准,安全团队可以确定一个参考的点或者标准来衡量安全工具的有效性。 为什么要对误报进行基准测试 执行应用程序安全测试 阅读全文
posted @ 2022-09-16 10:32 Seal软件 阅读(186) 评论(0) 推荐(0) 编辑
摘要:什么是漏洞修复? 首先我们来定义漏洞修复这个概念。开发人员和安全团队为了防止外部恶意攻击,使用一些方法来识别、优先考虑、修复和监控漏洞,这个过程就是漏洞修复了。 在检测方面,企业可以使用各种应用程序安全测试 (Application Security Testing, AST) 工具来识别软件应用程 阅读全文
posted @ 2022-09-15 09:59 Seal软件 阅读(544) 评论(0) 推荐(1) 编辑
摘要:软件成分分析(SCA)是检测开源库等依赖项中漏洞的重要工具。随着现代应用程序的组成从以自定义代码为主的转变为高达70-90%的开源,管理来自第三方的依赖项的漏洞比以往任何时候的重要性都高出许多。然而现有的 SCA 解决方案专注于应用程序代码中的依赖,但它们不涵盖软件交付流水线中的许多其他依赖项,比如 阅读全文
posted @ 2022-09-09 11:28 Seal软件 阅读(181) 评论(0) 推荐(0) 编辑
摘要:开源安全基金会(OpenSSF)发布了 npm 最佳实践指南,以帮助 JavaScript 和 TypeScript 开发人员降低使用开源依赖项相关的安全风险。OpenSSF Best Practice Group 发布的 npm 最佳实践指南,重点关注 npm 的依赖管理和供应链安全,涵盖各个领域 阅读全文
posted @ 2022-09-08 11:36 Seal软件 阅读(82) 评论(0) 推荐(1) 编辑
摘要:CI/CD 流水线是 DevOps 团队软件交付过程的基本组成部分。该流水线利用自动化和持续监控来实现软件的无缝交付。通过持续自动化,确保 CI/CD 流水线每一步的安全性非常重要。在流水线的各个阶段,通常需要访问凭据等敏感信息。保护这些信息对于保持强大的安全态势至关重要。本文将带你了解如何在 Je 阅读全文
posted @ 2022-09-07 12:42 Seal软件 阅读(687) 评论(1) 推荐(1) 编辑
摘要:在过去,勒索软件是 DevOps 团队常常担心的主要安全威胁。尽管现在勒索软件攻击仍在发生,但随着企业安全防护能力与意识增强,勒索软件造成的安全威胁已不如从前。然而,根据 Gartner 调查显示,API 安全漏洞在2021年增量高达 600%,逐渐成为恶意攻击者发起攻击的主要媒介。 DevOps 阅读全文
posted @ 2022-09-02 10:31 Seal软件 阅读(75) 评论(0) 推荐(0) 编辑
摘要:各种规模和各行各业的公司都在开发软件产品,并依靠开源代码来实现。业界领先的研究咨询公司 Forrester 和 Gartner 都表明,80%-90% 的商业软件开发人员在其应用程序中使用开源组件。随着开源项目的增多,在没有预防措施的情况下使用开源组件的风险也在增加。而开源治理可以帮助和指导开发人员 阅读全文
posted @ 2022-09-01 15:18 Seal软件 阅读(159) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示