抽丝剥茧代码属性图CPG-第四弹:CPG中的DFG-3
本文继续介绍CPG中不同节点类型的DFG构建方式
Aggregator
Constrained Delegation y Resource-Based Constrained Delegation (RBCD) – Kerberos
7 months 1 week ago
Previamente hemos hablado en otro artículo del Unconstrained Delegation y gracias a ello, sabemos que la delegación es un mecanismo...
Juan Antonio González Mena
CIS Benchmarks April 2024 Update
7 months 1 week ago
Here is an overview of the CIS Benchmarks that the Center for Internet Security updated or released for April 2024.
CIS Benchmarks Volunteer Spotlight: Pierluigi Falcone
7 months 1 week ago
Volunteers in the CIS Benchmarks Communities help those who seek a safer online experience. Learn how Pierluigi Falcone plays his part.
SDL 20/100问:如何选择开源组件安全扫描(SCA)工具?
7 months 1 week ago
SCA(Software Composition Analysis,软件成分分析)工具,主要用于检测项目依赖项中可能存在的公开披露的漏洞,个别工具在早期提供了漏洞证明代码(POC),现由于监管、担心被滥用等问题都不再提供,而是用标记来说明。
1、商业的SCA工具,通常还会具有开源协议分析的功能,提醒用户使用的开源组件是否有合规方面的风险。
2、当提到SCA工具时,令人想到的核心能力有:开源组件依赖分析(拆包识包)能力、漏洞情报(漏洞库)能力、开源许可证识别能力。这几点上,显然商业的要比开源的更胜一筹。
3、在选择SCA工具时,仍然首要考虑对实施扫描的环境(主要为开发框架和语言)的支持性,其次是考虑工具的准确性(上述核心能力),最后是工具的易用性、及集成能力。
更多软件安全内容,可以访问:
1、SDL100问:我与SDL的故事
SDL与DevSecOps有何异同?
如何在不同企业实施SDL?
SAST误报太高,如何解决?
SDL需要哪些人参与?
在devops中做开发安全,会遇到哪些问题?
如何实施安全需求?
安全需求,有哪些来源?
安全需求怎么实现自动化?
实施安全需求,会遇到哪些难题?
安全需求和安全设计有何异同及关联?
设计阶段应开展哪些安全活动?
有哪些不错的安全设计参考资料?
安全设计要求怎么做才能落地?
有哪些威胁建模方法论?
有哪些威胁建模工具?
如何开始或实施威胁建模?
威胁建模和架构安全评审,有何异同?
编码阶段,开展哪些安全活动?
SDL 19/100问:如何选择静态代码扫描(SAST)工具?
2、SDL最初实践系列
开篇
安全需求
安全设计
安全开发
安全测试
安全审核
安全响应
Bobby Tables but with LLM Apps - Google NotebookLM Data Exfiltration
7 months 1 week ago
Google’s NotebookLM is an experimental project that was released last year. It allows users to upload files and analyze them with a large language model (LLM).
However, it is vulnerable to Prompt Injection, meaning that uploaded files can manipulate the chat conversation and control what the user sees in responses.
There is currently no known solution to these kinds of attacks, so users can’t implicitly trust responses from large language model applications when untrusted data is involved.
当“低代码”遇上“大模型”:兼谈人机物融合应用场景下的应用开发
7 months 1 week ago
当前,基于大模型的生成式软件开发正受到越来越多的关注,同时也引发了关于低代码开发与大模型代码生成之间关系的讨论。
Joint advisory on deploying AI systems securely
7 months 1 week ago
Canadian Centre for Cyber Security
突发!全球近10万台LG智能电视存在被攻击风险
7 months 1 week ago
2024年4月9日,网安安全公司Bitdefender报告称,LG WebOS TV操作系统存在多个严重的漏洞
Empowering Change: Using Your Influence to Confront the Climate Crisis
7 months 1 week ago
Margot Hines
漏洞预警丨Palo Alto Networks PAN-OS 命令注入漏洞(CVE-2024-3400)
7 months 1 week ago
漏洞预警丨Palo Alto Networks PAN-OS 命令注入漏洞(CVE-2024-3400)
Balancing Your Healthcare Cybersecurity & Compliance Efforts
7 months 1 week ago
Need a way to streamline your healthcare cybersecurity and compliance efforts? Here's how resources from CIS can help your organization.
Bitcoin scams, hacks and heists – and how to avoid them
7 months 1 week ago
Here’s how cybercriminals target cryptocurrencies and how you can keep your bitcoin or other crypto safe
纯鸿蒙应用安全开发指南-ServiceExtensionAbility
7 months 1 week ago
一. 概述在本系列的前两篇文章《安全初探》《Web组件安全》中(见公众号),我们了解了UIAbility/Pa
使用PL\SQL将Excel表格导入到oracle数据库中
7 months 1 week ago
因为要测试生产问题,需要把生产上oracle导出数据导入到测试环境oracle数据库中,尝试了N种方法,发现使用PL\SQL 的ODBC 方法比较好用。
aomandeshangxiao
男子问车载AI:本周有几个人坐过副驾驶,AI的答应让人吃惊……小三再也没法隐藏了
7 months 1 week ago
智能车对乘客隐私的了解程度,挺让我震惊的。
Palo Alto Networks PAN-OS GlobalProtect 命令注入漏洞(CVE-2024-3400)
7 months 1 week ago
2024年4月12日,官方披露 CVE-2024-3400 Palo Alto Networks PAN-OS GlobalProtect 命令注入漏洞。
2024年度CISAW电子数据取证基础级开始招生啦!
7 months 1 week ago
XStream 从1.3.X升级到1.4.X版本遇到问题
7 months 1 week ago
原来为第三方提供jar包使用XStream1.3.X版本,后来升级到1.4.X版本,第三方系统使用时遇到com.thoughtworks.xstream.security.ForbiddenClassException 问题。在xml转成bean类时,发现xml中user_name 中有值,但是转换的bean类中 user_name 为空,$也是关键字,默认为_-,这2个参数一个改变$的显示,一个改变_的显示。修改后,user_name 可以转换正常。因为_是关键字,默认的会变为__
aomandeshangxiao
4·15全民国家安全教育日| 共筑密码防线,守护国家安全
7 months 1 week ago