聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士微软威胁情报团队指出,OpenMetadata 的开源元数据仓库中存在多个已知漏洞,自4月起就遭活跃利用,可导致威胁行动者对未修复的 Kubernet...
OWASP提出了十大开源软件风险
通过最近的几次漏洞安全风险事件,人们开始呼吁起对开源软件(OSS)的重视,特别是在其使用方式上。值得注意的是,XZUtils事件揭示了OSS中的后门插入状况,其可用于XZ文件的压缩和解压缩。如果不是及...
OWASP发布10大开源软件风险清单
更多全球网络安全资讯尽在邑安全3月20日,xz-utils 项目被爆植入后门震惊了整个开源社区,2021 年 Apache Log4j 漏洞事件依旧历历在目。倘若该后门未被及时发现,那么将很有可能成为...
ATT&CK - 确定次要策略元素
确定次要策略元素 攻击者试图攻击的次要策略元素是易受攻击的特定网络或网络区域。在公司网络示例中,次要策略元素可能是具有已知漏洞的 SQL 服务器或域控制器。 检测 可通过常见防御检测(是/否/部分):...
五角大楼如何修复军方软件的漏洞?
美国军方使用的太多应用程序都是基于充满漏洞的代码构建,并且由五角大楼本身分发。可以肯定的是,软件增强军事行动能力的宣传听越来很诱人,但它也隐藏了太多危险的安全问题。 如果软件要更多地带来好处而不是带...
深入解析水坑攻击:定义、步骤及防范策略
01引言在当今数字化的时代,网络安全问题变得愈发突出,各种新型攻击手法层出不穷。其中,水坑攻击作为一种狡猾而危险的攻击方式,引起了广泛关注。本文将深入探讨水坑攻击的定义、攻击步骤,并提供一系列防范策略...
暗月渗透测试五月份考核文章第一篇
介绍本次sunday靶场通关视频 已经制作成培训课程。5.20 还有活动价如需学习可参与 暗月的渗透测试培训 扫一扫 添加好友咨询学习涉及考点这次考核的内容涉及到 php代码审计和...
网络安全也要迈入AI时代?微软推出Security Copilot安全助手
周二,微软宣布将要推出Security Copilot,一款由人工智能驱动的安全分析助手,据说它能够协助网络安全团队快速响应处理威胁、评估报告安全风险。据微软官网信息,其新推出的Security Co...
2023年10大开源软件风险
根据Endor Labs的报告显示,已知漏洞、合法软件包泄露和名称混淆攻击将成为2023年十大开源软件的风险之一。根据该报告,其他主要的开源软件风险包括未维护的软件、过时的软件、未跟踪的依赖关系、许可...
安全事件运营SOP:网络攻击
在开篇《安全事件运营SOP【1】安全事件概述》中,介绍了安全事件的定义、分级、处置原则及处置流程。当发生某类安全事件时,该如何快速处置?以及如何保证不同人员处置的效果都达标?安全事件的种类虽然繁多,但...
2023年十大开源软件风险
现代软件几乎80%的代码都是开源代码,开源软件已经成为现代软件开发的基石,但同时也是软件供应链中最薄弱的环节。根据应用安全公司Synopsys的调研,84%的商业和专有代码库中至少检测到一个已知的开源...
2022年公有云安全现状调查:皇冠上的宝石仍然触手可及
日前,Orca Security发布了《2022年公有云安全现状报告》,对微软Azure、谷歌云、亚马逊AWS等全球主流公有云服务的安全状况进行了调研。研究人员发现,虽然许多企业将云计算应用安全列为其...