摘要:
在许多关于开源项目和社区治理的讨论中,人们往往倾向于把关注放在活动或资源上。虽然了解和记录这些信息十分有用且必要,但它们并不是真正意义上的开源治理。那什么才是开源治理呢? 简而言之,治理(Governance)是根据项目来决定什么人可以做什么或者应该做什么、如何完成以及什么时间完成的规则和策略。而开 阅读全文
摘要:
在过去十年里我们见证了越来越多的企业开始或已经采用云技术,这也意味着云安全的重要性也越来越高。当谈及安全威胁,McKinsey 的一篇文章表明,云上大多数漏洞都是由于配置错误导致而非外部攻击造成底层云基础设施损坏。因此,从开发初期就拥有正确安全配置比构建一个安全独立的系统更靠谱、更有效。而实现这的最 阅读全文
摘要:
渗透测试和漏洞扫描常常被混淆,这两者都通过探索系统来寻找 IT 基础架构中的弱点及易受攻击的地方。阅读本文,带你了解两者之间的差异与不同。 手动 vs 自动 渗透测试是一种手动安全评估方式,网络安全人员通过此类测试,对系统的安全控制进行评估,包括 web 应用程序、网络和云环境。这种测试可能需要几周 阅读全文
摘要:
SolarWinds 网络安全事件的影响,加上 Log4j 漏洞对众多知名企业产生难以估量的后果,使软件供应链安全成为安全领域的热门话题,并且SBOM现在成为网络安全漏洞计划的一个重要组成部分。 SBOM 本质上是构成软件的组件列表,其好处之一是识别潜在的带有漏洞的组件。领先的 SBOM 平台和工具 阅读全文
摘要:
第三方风险管理 (Third Party Risk Management, TPRM) 是分析和最小化与外包给第三方供应商或服务提供商的相关风险的过程。比如包括财务、环境、声誉和安全风险。而存在这些风险的原因是供应商拥有权限访问企业的知识产权、敏感数据和个人身份信息 (PII)等。由于第三方关系对业 阅读全文
摘要:
Black Hat 大会被公认为世界信息安全行业最权威大会,也是在全球范围内最具有技术性的信息安全大会。Black Hat USA 聚焦网络安全事件,并且持续向外界输出前沿安全技术研究成果以及行业发展趋势分析,吸引着全球各地的安全从业者。 软件供应链安全备受关注 软件供应链安全成为 Black Ha 阅读全文
摘要:
攻击面管理(Attack Surface Management)是包含、传输或处理敏感数据的外部数字资产的持续发现、清点、分类、优先级排序和安全监控。2018年,Gartner 倡导企业安全负责人开始监控并严格管理攻击面,并将攻击面管理纳入网络安全风险管理计划的一部分,这也是企业向主动安全转变的开始 阅读全文
摘要:
在之前的文章中,我们一起解读了2021年数据成本报告。根据 IBM 和 Ponemon Institute 2021年的报告,全球平均数据泄露成本约为424万美元。为了降低数据泄露造成的成本,企业可以通过多种方式积极主动地保护数据安全。而安全编码(Secure Coding)本身不需要任何成本,这是 阅读全文
摘要:
Apache Log4j 和 Log4Shell 两大事件的发生,将软件物料清单(Software Bill of Materials, SBOM)推向安全防护前沿,成为企业保护其软件供应链的方式之一。今年5月,美国总统拜登发布行政命令,要求 IT 供应商必须提供 SBOM 才能够与美国政府进行合作 阅读全文
摘要:
什么是特权访问管理(PAM)? 特权访问管理(Privileged Access Management)是一个包含网络安全策略和访问管理工具的解决方案,用于控制和监管和保护具有特权访问权限的用户。在之前的文章中我们了解过身份和访问管理(IAM),而 PAM 则是 IAM 的子集,包含管理特权账户的安 阅读全文