安全发布是产品或项目的正式发布或正式上线活动,这意味着一旦发布完毕,所有的用户都可以看到和使用产品,如果被发现有安全漏洞或遇到安全攻击,其影响可能会涉及到所有的用户,轻则影响产品或公司形象,重则影响公...
SDL实践之安全验证
在软件开发生命周期(SDLC)的测试或验证阶段,不同的企业因为团队或者业务模式的区别而选择不同的做法和设计,单一的安全验证流程并无法满足所有的测试场景或验证场景。比如,有的企业会有测试环境、预生产环境...
SDL实践之安全实施
安全实施的工作针对的是研发团队以及研发过程,之所以称为实施,是因为在该过程中不仅涉及到开发工作,还涉及到包括编码规范、工具使用以及静态代码审计等非具体开发类的内容。在SDL的安全实施步骤中,主要有三个...
SDL实践之安全设计
在传统的瀑布流开发模式中,每个阶段都会小心翼翼、亦步亦趋地执行和完成,对于系统设计而言更是如此,从需求说明书,到系统设计说明、功能设计说明、详细设计说明,每个步骤都需要明细、详实的文档来说明之后的实现...
SDL实践之安全要求
前言信息行业的实践有诸多借鉴现实世界,软件工程之所以称为“工程”,是早期借鉴土木工程的原因,直到后来人们才认识到软件开发本质上是无法精确衡量的,这与现实世界中的工程有着天壤之别,保罗·格雷厄姆用画家来...
软件供应商攻防常规战之SDL
软件供应链的安全问题越演越烈,在近几年的国家级实战攻防演习中频频发生。即使是在常态化,我们也在不断地帮客户(被供应链攻击的上游客户)应急或在自家环境中发现过此类事件。因此企业在防守难度上,又新增了一块...
[漏洞复现] CVE-2022-34269 SDL WroldServer SSRF
本人非原创漏洞作者,文章仅作为知识分享用 一切直接或间接由于本文所造成的后果与本人无关 如有侵权,联系删除 产品简介 SDL WorldServer 翻译流程管理系统专为本地化项目经理及其团队而设计,...
[漏洞复现] CVE-2022-34268 SDL WroldServer 反序列化RCE
本人非原创漏洞作者,文章仅作为知识分享用 一切直接或间接由于本文所造成的后果与本人无关 如有侵权,联系删除 产品简介 SDL WorldServer 翻译流程管理系统专为本地化项目经理及其团队而设计,...
[漏洞复现] CVE-2022-34267 SDL WorldServer 身份认证绕过RCE
本人非原创漏洞作者,文章仅作为知识分享用 一切直接或间接由于本文所造成的后果与本人无关 如有侵权,联系删除 产品简介 SDL WorldServer 翻译流程管理系统专为本地化项目经理及其团队而设计,...
【软件安全设计】安全开发生命周期(SDL)
安全开发生命周期(SDL)是一个帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开发过程。安全应用从安全设计开始,软件的安全问题很大一部分是由于不安全的设计而引入的,微软用多年的...
老网安的面经-自我介绍篇
基本上所有的面试上来都会要求有一段自我介绍。这个是每个面试官必问的。可能一方面是面试官想看看你的表达能力,思维能力,总结能力等等。因为作为一个老网安而言,从业经验很丰富,能说东西很多,但在自我介绍环节...
SDL(安全开发生命周期)
0x0 前言 最近在读《互联网企业安全高级指南》里面的一章SDL有感,结合工作经验之谈,遂写此文。 0x01 SDL概念 当我们谈到SDL(Security Development Lifecycle...