摘要:
Scorecard 是 OpenSSF 旗下的开源项目,用于评估开源软件风险,本文由该项目的主要贡献者 Naveen 撰写。 现代软件是建立在数百个甚至数千个第三方开源组件之上的,这些通常被称为依赖项。它们可以帮助开发团队快速迭代并保持生产力。 由于生产力的提升,大部分企业正在快速采用开源软件(OS 阅读全文
摘要:
在之前的文章中,我们分别讨论了漏洞修复和 CVSS 评分系统。而这两部分都是漏洞管理中涉及的关键要素。在今天的文章中,我们将一起系统地了解漏洞管理的概念及过程。 首先来看安全漏洞的概念。安全漏洞是指允许攻击者破坏产品及其持有的信息的技术弱点。为了跟上添加到网络中的新系统、对系统进行的更改以及随着时间 阅读全文
摘要:
通用漏洞评分系统 (CVSS) 是一个公共框架 ,用于评估软件中安全漏洞的严重性。这是一个中立的评分系统,让所有企业能够使用相同的评分框架对各种软件产品(从操作系统、数据库再到 Web 应用程序)的 IT 漏洞进行评分。 为什么企业要采用 CVSS 在没有 CVSS 以前,软件供应商使用自己的方法对 阅读全文
摘要:
许多 SAST 工具都无法避免误报的问题。这些工具经常报告一些实际不存在的漏洞,这种不准确性让安全团队耗费大量时间来对误报进行分类和处理,这时设置误报基准就显得十分必要。 通过设置误报基准,安全团队可以确定一个参考的点或者标准来衡量安全工具的有效性。 为什么要对误报进行基准测试 执行应用程序安全测试 阅读全文
摘要:
什么是漏洞修复? 首先我们来定义漏洞修复这个概念。开发人员和安全团队为了防止外部恶意攻击,使用一些方法来识别、优先考虑、修复和监控漏洞,这个过程就是漏洞修复了。 在检测方面,企业可以使用各种应用程序安全测试 (Application Security Testing, AST) 工具来识别软件应用程 阅读全文
摘要:
软件成分分析(SCA)是检测开源库等依赖项中漏洞的重要工具。随着现代应用程序的组成从以自定义代码为主的转变为高达70-90%的开源,管理来自第三方的依赖项的漏洞比以往任何时候的重要性都高出许多。然而现有的 SCA 解决方案专注于应用程序代码中的依赖,但它们不涵盖软件交付流水线中的许多其他依赖项,比如 阅读全文
摘要:
开源安全基金会(OpenSSF)发布了 npm 最佳实践指南,以帮助 JavaScript 和 TypeScript 开发人员降低使用开源依赖项相关的安全风险。OpenSSF Best Practice Group 发布的 npm 最佳实践指南,重点关注 npm 的依赖管理和供应链安全,涵盖各个领域 阅读全文
摘要:
CI/CD 流水线是 DevOps 团队软件交付过程的基本组成部分。该流水线利用自动化和持续监控来实现软件的无缝交付。通过持续自动化,确保 CI/CD 流水线每一步的安全性非常重要。在流水线的各个阶段,通常需要访问凭据等敏感信息。保护这些信息对于保持强大的安全态势至关重要。本文将带你了解如何在 Je 阅读全文
摘要:
在过去,勒索软件是 DevOps 团队常常担心的主要安全威胁。尽管现在勒索软件攻击仍在发生,但随着企业安全防护能力与意识增强,勒索软件造成的安全威胁已不如从前。然而,根据 Gartner 调查显示,API 安全漏洞在2021年增量高达 600%,逐渐成为恶意攻击者发起攻击的主要媒介。 DevOps 阅读全文
摘要:
各种规模和各行各业的公司都在开发软件产品,并依靠开源代码来实现。业界领先的研究咨询公司 Forrester 和 Gartner 都表明,80%-90% 的商业软件开发人员在其应用程序中使用开源组件。随着开源项目的增多,在没有预防措施的情况下使用开源组件的风险也在增加。而开源治理可以帮助和指导开发人员 阅读全文