摘要:
在去年一连串软件供应链攻击的影响和推动下,美国参议院通过了一项法案,旨在改善对采购人员的网络安全培训。 《供应链安全培训法》要求各机构在整个收购生命周期内评估和降低供应链风险。 该法案一旦成为法律,将要求国土安全部,美国国家标准与技术研究院(NIST)和其他联邦机构协调细节并执行该计划。 严格的网络 阅读全文
摘要:
根据上周刚刚发布的两项研究显示,开源软件早已成为大多数应用程序的中坚力量,但它同时也为开发人员和安全团队带来了安全挑战,而这些挑战可以通过采用“安全左移”的方式解决。 开发者安全公司 Snyk 和 Linux 基金会的研究人员在他们的《2022 开源安全状况》报告中透露,超过41%的组织对他们的开源 阅读全文
摘要:
开源软件安全基金会(OpenSSF)发布了一项动员计划,以提高开源软件(OSS)的适应性和安全性。 现代软件供应链之所以广泛使用 OSS,是因为它提供了更快的创新和更高质量的产品,但由于 OSS 组件固有的漏洞,其广泛采用会伴随一定风险。 该计划的一个重要部分是使用软件物料清单(SBOM)作为基础构 阅读全文
摘要:
云原生安全是什么? 云原生安全是指将安全纳入企业整体云原生应用开发的战略。 这一方法解决了建立安全应用程序所需的基础设施、团队和流程的变化。 因此,云原生安全强调应用安全,以确保在云环境中检测和修复漏洞。 实现云原生安全需要一个整体的规划使安全得以渗透到整个软件开发生命周期(SDLC)中。 安全平台 阅读全文
摘要:
敏捷和灵活是现代云原生技术的标志,它可以处理从构建到生产的复杂数字化转型计划。随着市场变化和疫情常态化,优化软件开发生命周期(SDLC)已逐渐成为公司密切关注的焦点,特别是管理 CI/CD 流水线和 SDLC 后期生产阶段的安全风险。 借助合适的云技术,开发团队能够与 DevOps 及安全运营团队一 阅读全文
摘要: 
你已经是一个成熟的应用程序了,应该学会自己保护自己。 阅读全文
你已经是一个成熟的应用程序了,应该学会自己保护自己。 阅读全文
摘要:
上一篇文章我们了解了 IAST 及其优势、工具类型以及重要性。 本期文章将为你介绍 CI/CD 流水线安全的最佳实践。 ✦ ✦ CI/CD 流水线是指由持续集成(Continuous Integration)和/或持续部署(Continuous Deployment)组成的一套自动化流程。 CI/C 阅读全文
摘要:
之前的文章中,我们了解了 SAST 和 DAST,本文将介绍将两者优势相结合的安全测试技术——IAST。 ✦ ✦ 交互式应用安全测试(IAST)是一个自动识别和诊断应用程序和 API 漏洞的技术,它结合了 SAST 和 DAST 的优势,可以从应用内部持续监测漏洞。 在整个开发生命周期中,IAST通 阅读全文
摘要:
在开发过程中如何查找开源软件包中的漏洞并学习如何修复?本指南带你一起了解使用 SCA 工具时的最佳实践。 阅读全文
摘要: 
DAST,即动态应用安全测试,是软件安全领域无法绕开的技术之一。本文将会详细介绍 DAST 的概念、重要性及其工作原理。 阅读全文
DAST,即动态应用安全测试,是软件安全领域无法绕开的技术之一。本文将会详细介绍 DAST 的概念、重要性及其工作原理。 阅读全文
