关键词黑客攻击在开源TensorFlow机器学习框架中发现的持续集成与持续交付(CI/CD)配置错误,可能被利用来发起供应链攻击。TensorFlow 是谷歌的开发者创造的一款开源的深度学习框架,于 ...
TensorFlow机器学习框架曝严重漏洞,黑客可发起供应链攻击
左右滑动查看更多在开源TensorFlow机器学习框架中发现的持续集成与持续交付(CI/CD)配置错误,可能被利用来发起供应链攻击。TensorFlow 是谷歌的开发者创造的一款开源的深度学习框架,于...
一键渗透全流程
Osmedeus 是一个用于进攻性安全的工作流引擎,允许您在各种目标(包括域、URL、CIDR 和 GitHub 存储库)上构建和运行侦察系统。它的设计目的是建立坚实的基础,并具有自动适应和运行的能力...
明确CI/CD潜在风险 切实保护软件供应链安全
你是否了解Dependabot?如果不了解,可以从身边的开发人员处获知,它是如何彻底改变检查和更新软件项目过程中的繁琐步骤的。Dependabot不仅提供检查服务,还会制定修改建议,单击确认后即可执行...
【漏洞预警】Apache DolphinScheduler 敏感信息泄漏CVE-2023-48796
产品简介:Apache DolphinScheduler(海豚调度),国人之光,是许多国人开源在Apache的顶级项目,主要功能就是负责任务的调度处理。Apache DolphinScheduler是...
应用安全介绍之Wabbi
在2021年的RSAConference大会上,Wabbi入选创新沙盒的十强初创公司,关于Wabbi的介绍,绿盟科技有一篇文章介绍的很详细,大家可以参考:http://blog.nsfocus.net...
tql!Swallow代码审计自动化系统
声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 现在只对常读和星标的公众号才展示大图推...
探索网络世界的利器(认知篇)
▌背景概述我们都知道,在进行资产收集时,FOFA工程师需要处理从FOFA提取的元数据,以生成所需的业务数据。在这个过程中,可能会出现各种需求,例如检测站点是否存活、快速判断页面快照等等。市面上也存在许...
白泽带你读论文|ALASTOR
如需转载请注明出处,侵权必究。论文题目:ALASTOR: Reconstructing the Provenance of Serverless Intrusions发表会议:Security 22概...
利用 GitHub使用 Nuclei 进行漏洞扫描
最近很多小伙伴反馈看不到最新的推文,由于微信公众号推送机制改变了,解决办法: 组织保护其整个软件供应链中的所有资产至关重要。例如,在 DevOps 生命周...
针对开发者的供应链攻击
最近,趋势科技的研究人员分析了几种可被滥用来攻击供应链的攻击载体的概念证明,其中一种便是针对开发者的供应链攻击,该证明重点关注了本地集成开发环境(IDE),考虑当项目或生成被错误地“信任”时,通过注入...
10分钟实现CodeQL自动化扫描
前言以前对代码进行白盒的时候是通过代码审计平台进行扫描的,随着CodeQL的普及,越来越多的人接触到了他,本文以CI/CD的流程为例,作研究分享。官方文档《CodeQL CLI 入门》:https:/...
4