Seal软件

摘要： 什么是漏洞修复？ 首先我们来定义漏洞修复这个概念。开发人员和安全团队为了防止外部恶意攻击，使用一些方法来识别、优先考虑、修复和监控漏洞，这个过程就是漏洞修复了。 在检测方面，企业可以使用各种应用程序安全测试 (Application Security Testing, AST) 工具来识别软件应用程 阅读全文

摘要： 软件成分分析（SCA）是检测开源库等依赖项中漏洞的重要工具。随着现代应用程序的组成从以自定义代码为主的转变为高达70-90%的开源，管理来自第三方的依赖项的漏洞比以往任何时候的重要性都高出许多。然而现有的 SCA 解决方案专注于应用程序代码中的依赖，但它们不涵盖软件交付流水线中的许多其他依赖项，比如 阅读全文

摘要： 开源安全基金会（OpenSSF）发布了 npm 最佳实践指南，以帮助 JavaScript 和 TypeScript 开发人员降低使用开源依赖项相关的安全风险。OpenSSF Best Practice Group 发布的 npm 最佳实践指南，重点关注 npm 的依赖管理和供应链安全，涵盖各个领域 阅读全文

摘要： CI/CD 流水线是 DevOps 团队软件交付过程的基本组成部分。该流水线利用自动化和持续监控来实现软件的无缝交付。通过持续自动化，确保 CI/CD 流水线每一步的安全性非常重要。在流水线的各个阶段，通常需要访问凭据等敏感信息。保护这些信息对于保持强大的安全态势至关重要。本文将带你了解如何在 Je 阅读全文

摘要： 在过去，勒索软件是 DevOps 团队常常担心的主要安全威胁。尽管现在勒索软件攻击仍在发生，但随着企业安全防护能力与意识增强，勒索软件造成的安全威胁已不如从前。然而，根据 Gartner 调查显示，API 安全漏洞在2021年增量高达 600%，逐渐成为恶意攻击者发起攻击的主要媒介。 DevOps 阅读全文

摘要： 各种规模和各行各业的公司都在开发软件产品，并依靠开源代码来实现。业界领先的研究咨询公司 Forrester 和 Gartner 都表明，80%-90% 的商业软件开发人员在其应用程序中使用开源组件。随着开源项目的增多，在没有预防措施的情况下使用开源组件的风险也在增加。而开源治理可以帮助和指导开发人员 阅读全文

摘要： 在许多关于开源项目和社区治理的讨论中，人们往往倾向于把关注放在活动或资源上。虽然了解和记录这些信息十分有用且必要，但它们并不是真正意义上的开源治理。那什么才是开源治理呢？ 简而言之，治理（Governance）是根据项目来决定什么人可以做什么或者应该做什么、如何完成以及什么时间完成的规则和策略。而开 阅读全文

摘要： 在过去十年里我们见证了越来越多的企业开始或已经采用云技术，这也意味着云安全的重要性也越来越高。当谈及安全威胁，McKinsey 的一篇文章表明，云上大多数漏洞都是由于配置错误导致而非外部攻击造成底层云基础设施损坏。因此，从开发初期就拥有正确安全配置比构建一个安全独立的系统更靠谱、更有效。而实现这的最 阅读全文

摘要： 渗透测试和漏洞扫描常常被混淆，这两者都通过探索系统来寻找 IT 基础架构中的弱点及易受攻击的地方。阅读本文，带你了解两者之间的差异与不同。 手动 vs 自动 渗透测试是一种手动安全评估方式，网络安全人员通过此类测试，对系统的安全控制进行评估，包括 web 应用程序、网络和云环境。这种测试可能需要几周 阅读全文

摘要： SolarWinds 网络安全事件的影响，加上 Log4j 漏洞对众多知名企业产生难以估量的后果，使软件供应链安全成为安全领域的热门话题，并且SBOM现在成为网络安全漏洞计划的一个重要组成部分。 SBOM 本质上是构成软件的组件列表，其好处之一是识别潜在的带有漏洞的组件。领先的 SBOM 平台和工具 阅读全文