10 2022 档案

摘要:在过去的几天里,Apache Commons Text 库中一个名为 Text4Shell 的新漏洞引起很大的轰动,该漏洞存在于 Apache Commons Text 1.5到1.9版本中。此警报于10月18日发布,此前检测到大量试图利用 CVE-2022-42889 安全漏洞的攻击尝试,该漏洞通 阅读全文
posted @ 2022-10-31 10:38 Seal软件 阅读(142) 评论(0) 推荐(0) 编辑
摘要:你可能或多或少在头条新闻中有看到过或了解过和软件供应链攻击相关的信息,比如 2020年的 SolarWinds 事件,再比如2021年的 Kaseya 事件(点击查看关联文章)。如果到目前为止你对软件供应链攻击尚不了解,那么这里有一个简要解释:当恶意代码在开发过程中被引入应用程序或软件程序,然后用于 阅读全文
posted @ 2022-10-27 10:34 Seal软件 阅读(181) 评论(0) 推荐(1) 编辑
摘要:由于 DevOps 方法的广泛采用以及由此产生的快速产品交付和部署,许多部门已采用更敏捷的方法来开发生命周期。在满足市场速度和规模要求的同时,设计安全的软件一直是现代 IT 公司共同面临的问题。结果,超过 52% 的组织因为担心上市速度落后而放弃了安全性。 由于传统技术下的安全漏洞,生产版本也出现了 阅读全文
posted @ 2022-10-26 13:43 Seal软件 阅读(283) 评论(0) 推荐(0) 编辑
摘要:近日,业内知名机构 Sonatype 在本月18号的 DevOps 企业大会上发布其年度软件供应链现状报告。本文为你总结该报告的关键信息,带你了解今年的软件供应链安全状况。 开源存储库攻击三年内飙升742% 根据报告显示,在过去三年中,针对上游开源代码存储库的恶意活动,旨在将恶意软件植入软件组件的攻 阅读全文
posted @ 2022-10-25 11:00 Seal软件 阅读(196) 评论(0) 推荐(0) 编辑
摘要:随着 Kubernetes 的发展和改进,新的安全威胁和风险也逐渐向 K8s 转移,因此 K8s 安全性变得越来越重要,而保护 K8s 集群已成为 DevOps 团队不容忽视的重要任务。K8s 有多种实现类型(本地、云管理、混合等)、众多开源支持工具和各种配置设置,且保护运行容器工作负载的任何安全敏 阅读全文
posted @ 2022-10-24 10:51 Seal软件 阅读(424) 评论(0) 推荐(0) 编辑
摘要:在之前的文章中(点击此处查看上一篇文章),我们了解了如何识别包含密钥的文件,将密钥添加到 .gitignore ,通过 git-secret 进行加密,以及将加密文件提交到存储库。在本篇文章中,将带你了解如何在 Docker 容器中设置 git-secret 和 gpg,通过 Makefile re 阅读全文
posted @ 2022-10-21 12:07 Seal软件 阅读(622) 评论(0) 推荐(1) 编辑
摘要:原标题: New npm timing attack could lead to supply chain attacks 原文链接: https://www.bleepingcomputer.com/news/security/new-npm-timing-attack-could-lead-to 阅读全文
posted @ 2022-10-20 10:12 Seal软件 阅读(82) 评论(0) 推荐(0) 编辑
摘要:开源软件无处不在。无论是哪个行业,每个企业都依赖软件来满足其业务需求。企业构建和使用的大多数应用程序在其代码中都包含开源元素。近几年软件行业逐渐迁移到云上,并且随着应用程序复杂性的增加,软件安全风险也随之增加。企业需要在其软件开发生命周期(SLDC)中实施开源依赖管理最佳实践,并选择正确的工具来管理 阅读全文
posted @ 2022-10-19 10:43 Seal软件 阅读(182) 评论(0) 推荐(0) 编辑
摘要:在本篇文章中,我们将了解第三方服务的监管不足,工件完整性验证及日志可见性不足这三个关键 CI/CD 安全风险,并给出缓解相应风险的建议与措施。 第三方服务监管不足 CI/CD 攻击面包括企业资产,例如 SCM 和 CI,以及被授权访问这些资产的第三方服务。与不受监管地使用第三方服务有关的风险依赖于第 阅读全文
posted @ 2022-10-18 11:33 Seal软件 阅读(130) 评论(0) 推荐(0) 编辑
摘要:随着现代软件开发越来越依赖于第三方资源,针对软件供应链的恶意攻击数量也随之激增。据业内权威机构 Gartner 预计,软件物料清单 (SBOM) 的采用率在 2025 年将会达到 60%。 Gartner 明确提醒软件开发企业及组织,如果想要在软件市场上保持良好的竞争力,准备好向客户提供 SBOM 阅读全文
posted @ 2022-10-17 11:45 Seal软件 阅读(98) 评论(0) 推荐(0) 编辑
摘要:据 SAP 称,当今85%的安全攻击针对的是软件应用程序,因此一些列应用程序安全测试工具也应运而生。为了避免这些恶意攻击,企业通常使用应用程序安全测试工具来去缓解和解决安全风险,而不同的工具对应的使用方法和覆盖范围各不相同。本期文章,我们将会讨论 SAST 和 SCA 这两种类型的应用程序安全解决方 阅读全文
posted @ 2022-10-14 10:06 Seal软件 阅读(119) 评论(0) 推荐(0) 编辑
摘要:在上一篇文章,我们着重介绍 PPE 风险,并提供缓解相关风险的安全建议与实践。在本篇文章中,我们将会了解凭据使用环境管理不善与不安全的系统配置,并给出相应的风险缓解建议。 凭据使用管理不善 由于与凭据周围的访问控制、不安全的秘密管理和过于宽松的凭据有关的缺陷,凭据环境管理不善会给攻击者提供获取和使用 阅读全文
posted @ 2022-10-13 14:51 Seal软件 阅读(125) 评论(0) 推荐(0) 编辑
摘要:在上一篇文章,我们了解了依赖链滥用和基于流水线的访问控制不足这两大安全风险,并给出缓解风险的安全建议。本篇文章将着重介绍 PPE 风险,并提供缓解相关风险的安全建议与实践。 Poisoned Pipeline Execution (PPE) 风险指的是攻击者能够访问源代码控制系统,但无法访问构建环境 阅读全文
posted @ 2022-10-12 10:53 Seal软件 阅读(620) 评论(0) 推荐(0) 编辑
摘要:在上一篇文章中,我们主要介绍了 CI/CD 中流程控制机制不足和身份及访问管理不足两大安全风险,并为企业及其开发团队在缓解相应风险时给出了一些建议。今天我们将继续介绍值得企业高度关注的 CI/CD 安全风险。 依赖链滥用 依赖链滥用(Dependency Chain Abuse)风险是指攻击者滥用与 阅读全文
posted @ 2022-10-11 15:48 Seal软件 阅读(101) 评论(0) 推荐(0) 编辑
摘要:CI/CD 环境、流程和系统是现代软件组织的核心。他们将代码从开发工程师的工作站传递到生产环境。结合 DevOps 和微服务架构的兴起,CI/CD 系统和流程重塑了工程生态系统: 技术堆栈更加多样化,无论是编码语言,还是流水线中进一步采用的技术和框架(例如 GitOps,K8s)。 采用新的语言和框 阅读全文
posted @ 2022-10-10 10:55 Seal软件 阅读(67) 评论(0) 推荐(0) 编辑
摘要:在过去的八年中,全球超过 33,000 名专业人士参与了Accelerate State of DevOps 调查,使其成为同类研究中规模最大、运行时间最长的一项。Accelerate State of DevOps 报告提供了数据驱动的行业洞察力,这些洞察力检查了推动软件交付以及运营和企业绩效的能 阅读全文
posted @ 2022-10-09 13:04 Seal软件 阅读(146) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示