Aggregator

曾听到过一些同行说：没有SCA工具的时候倒还好，上了SCA工具后竟然检测出一个项目成百上千、甚至上万个漏洞。乙方又没有可行的解决方案，简直是在领导面前挖了坑。 其实我很能理解他们的痛点，他们指：SCA工具厂商和客户，前者可能只有工具检测能力、不具备针对扫描结果的解决方案；后者则是更关注落地、需要合理有效的处理扫描结果至闭环。 三年前就正式开始尝试解决这个问题，今天来看还是受限于检测技术的瓶颈，如分析出漏洞调用链进而减少误报（让SCA具备SAST的能力），但终究没能有实质性的突破。与此同时尝试通过人工运营的方式，分析并提取漏洞利用条件，转化为开发视角的语言描述，提供给业务方进行判断，从而发现存在真正风险的漏洞并推修。 就强监管的公司而言，可以进行强制要求修复。其他情况，如我司借助重大网络安全保障，在公司内部强推行开源组件扫描与修复工作。在此之前不敢推行SCA，然而现在心里立马有底。原来利用公司重大事件/项目，来推进安全工作是这么给力，SCA可落地且策略依次为：扫出高危就修（强监管）、扫出漏洞存在公开POC就修（互联网）、扫出漏洞存在公开POC且满足利用条件才修（开发强势、安全弱势的情况）。 开源组件漏洞的治理也应该左移，统筹公司内部的开源组件库进行统一纳管。但这对于网络环境较为开放的公司而言，是一个漫长的过程及充满挑战的历程。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SDL与DevSecOps有何异同？ 如何在不同企业实施SDL？ SAST误报太高，如何解决？ SDL需要哪些人参与？ 在devops中做开发安全，会遇到哪些问题？ 如何实施安全需求？ 安全需求，有哪些来源？ 安全需求怎么实现自动化？ 实施安全需求，会遇到哪些难题？ 安全需求和安全设计有何异同及关联？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ 编码阶段，开展哪些安全活动？ 如何选择静态代码扫描(SAST)工具？ SDL 20/100问：如何选择开源组件安全扫描(SCA)工具？ 2、SDL最初实践系列 开篇 安全需求 安全设计 安全开发 安全测试 安全审核 安全响应

SNMP 协议简介。 这里先对 SNMP v2c 及之前版本的协议概念做简单介绍。 概念 SNMP（Simple Network Management Protocol，简单网络管理协议）是在 SGMP（Simple Gateway Monitoring Protocol，简单网关监控协议）的基础上实现的。在 SGMP 的基础上，SNMP ...

SNMP 协议简介。 这里先对 SNMP v2c 及之前版本的协议概念做简单介绍。 概念 SNMP（Simple Network Management Protocol，简单网络管理协议）是在 SGMP（Simple Gateway Monitoring Protocol，简单网关监控协议）的基础上实现的。在 SGMP 的基础上，SNMP ...

For government agencies, planning ahead is imperative. Whether it’s building new roads adjusting traffic flows, anticipating energy consumption, or improving the delivery of public services, having vital insights into the needs of constituents is crucial for wise investment in public infrastructure. Gaining these...

Raimondo named Paul Christiano as head of AI safety, Adam Russell as chief vision officer, Mara Campbell as acting chief operating officer and chief of staff, Rob Reich as senior advisor, and Mark Latonero as head of international engagement.

“未来，自然语言将成为新的通用编程语言，你只要会说话，就可以成为一名开发者，用自己的创造力改变世界。”

From promoting questionable content to posing security risks, inappropriate ads present multiple dangers for children. Here’s how to help them stay safe.

分享HTTP上传下载服务器

👍👍👍

检测业务是否受到此漏洞影响，请联系长亭应急服务团队！

由中国通信学会主办的，对电子科技大学、中国联合网络通信集团有限公司、国家工业信息安全发展研究中心、四维创智（北京）科技发展有限公司共同完成的“面向通信网络安全的专用编程语言Yaklang创新及应用”项目进行的科技成果鉴定会在北京举行。

大语言模型（LLM）在当前社会中扮演着日益重要的角色，其广泛应用领域突显了其对社会和技术发展的重要性。