摘要:
在上一篇文章,我们着重介绍 PPE 风险,并提供缓解相关风险的安全建议与实践。在本篇文章中,我们将会了解凭据使用环境管理不善与不安全的系统配置,并给出相应的风险缓解建议。 凭据使用管理不善 由于与凭据周围的访问控制、不安全的秘密管理和过于宽松的凭据有关的缺陷,凭据环境管理不善会给攻击者提供获取和使用 阅读全文
摘要:
在上一篇文章,我们了解了依赖链滥用和基于流水线的访问控制不足这两大安全风险,并给出缓解风险的安全建议。本篇文章将着重介绍 PPE 风险,并提供缓解相关风险的安全建议与实践。 Poisoned Pipeline Execution (PPE) 风险指的是攻击者能够访问源代码控制系统,但无法访问构建环境 阅读全文
摘要:
在上一篇文章中,我们主要介绍了 CI/CD 中流程控制机制不足和身份及访问管理不足两大安全风险,并为企业及其开发团队在缓解相应风险时给出了一些建议。今天我们将继续介绍值得企业高度关注的 CI/CD 安全风险。 依赖链滥用 依赖链滥用(Dependency Chain Abuse)风险是指攻击者滥用与 阅读全文
摘要:
CI/CD 环境、流程和系统是现代软件组织的核心。他们将代码从开发工程师的工作站传递到生产环境。结合 DevOps 和微服务架构的兴起,CI/CD 系统和流程重塑了工程生态系统: 技术堆栈更加多样化,无论是编码语言,还是流水线中进一步采用的技术和框架(例如 GitOps,K8s)。 采用新的语言和框 阅读全文
摘要:
在过去的八年中,全球超过 33,000 名专业人士参与了Accelerate State of DevOps 调查,使其成为同类研究中规模最大、运行时间最长的一项。Accelerate State of DevOps 报告提供了数据驱动的行业洞察力,这些洞察力检查了推动软件交付以及运营和企业绩效的能 阅读全文
摘要:
软件包含大量且范围广泛的组件、部分和相互依赖关系。需要有效缓解与使用软件相关的安全风险;需要遵守与组件相关的许可证。通过第三方代码(包括开源软件 (OSS))了解产品中所有项目的出处至关重要,无论这些元素源自企业的团队还是团队之外。确保安全的最佳方法是维护软件中所有组件的当前“成分列表”列表——软件 阅读全文
摘要:
当涉及处理机密信息(如密码、令牌、密钥文件等)等,以下问题值得考虑: 安全性十分重要,但高安全性往往伴随着高度的不便。 在团队中,共享某些密钥有时无法避免(因此现在我们需要考虑在多人之间分发和更新密钥的安全方法)。 具体的密钥通常取决于环境。 目前市面上已经存在许多较为成熟的密钥管理产品,比如 Ha 阅读全文
摘要:
往往一些成功的软件公司在构建解决方案的时候十分注重其可重复性、可审计性、和简便性,而基础设施即代码(IaC)的出现让开发人员能够将这些时间应用于基础设施的分配。目前的存储 IaC 的实践有以下三种: IaC 与应用程序和功能代码一起存储 IaC 单独存储在特定于应用程序的存储库中 企业中所有应用程序 阅读全文
摘要: 
Seal 软件供应链防火墙 v0.2 已于近日发布。这款产品旨在为企业提供代码安全、构建安全、依赖项安全及运行环境安全等4大防护,通过全链路扫描、问题关联及风险组织的方式保护企业软件供应链安全,降低企业安全漏洞修复成本。 通过 Seal 软件供应链防火墙,用户可以获得软件开发生命周期各个环节的可见性 阅读全文
Seal 软件供应链防火墙 v0.2 已于近日发布。这款产品旨在为企业提供代码安全、构建安全、依赖项安全及运行环境安全等4大防护,通过全链路扫描、问题关联及风险组织的方式保护企业软件供应链安全,降低企业安全漏洞修复成本。 通过 Seal 软件供应链防火墙,用户可以获得软件开发生命周期各个环节的可见性 阅读全文
摘要:
随着企业对软件开发的安全意识提高,开发和运维环节中各个团队也开始将安全嵌入他们正在使用或处理的平台或应用程序架构中。不同于各团队把对安全的关注放在自己所处理的环节,首席信息安全官(CISO)需要把握和负责从基础架构团队到应用程序团队等企业内部的所有安全问题。 阅读本文,将带您了解 CISO 需要考虑 阅读全文