软件供应链的安全问题越演越烈,在近几年的国家级实战攻防演习中频频发生。即使是在常态化,我们也在不断地帮客户(被供应链攻击的上游客户)应急或在自家环境中发现过此类事件。因此企业在防守难度上,又新增了一块...
威胁情报信息分享|美国、英国及16个国家的全球伙伴发布了有关开发安全人工智能(AI)系统的新指南
美国网络安全和基础设施安全局(CISA)表示:“这种方法强调对客户安全成果的所有权,拥抱彻底的透明度和问责制,并建立将安全设计作为首要任务的组织结构。”英国国家网络安全中心(NCSC)补充说,目标是提...
基于等级保护思路的应用软件开发安全关键要素探讨
随着网络安全等级保护制度的全面推广,网络层和系统层的安全问题在部署防护设备、配置安全策略、升级补丁等措施的实施下日趋减少,但应用层安全问题仍然较为突出。由于“内生”于软件开发过程,限于事后补救的手段以...
专栏特辑 | 开发安全铁三角纵横谈(七)
开发安全铁三角为了能更好地理解今天所讲,请大家先回顾一下之前“开发安全铁三角纵横谈”内容:专栏特辑 | 开发安全铁三角纵横谈(六)对于重要的系统,还需要考虑业务连续性。(本章节部分大量引用《2021 ...
专栏特辑 | 开发安全铁三角纵横谈(十三)安全组件与安全框架
开发安全铁三角为了能更好地理解今天所讲,请大家先回顾一下之前“开发安全铁三角纵横谈”内容:专栏特辑 | 开发安全铁三角纵横谈(十二)安全组件安全组件是实现代码级的安全支撑,对程序员来说可以直接调用肯定...
专栏特辑 | 开发安全铁三角纵横谈(十九)大结局
开发安全铁三角为了能更好地理解今天所讲,请大家先回顾一下之前“开发安全铁三角纵横谈”内容:专栏特辑 | 开发安全铁三角纵横谈(十八)安全监测工具漫谈RASP运行时应用自我保护(Runtime appl...
软件开发安全应用实践中的十个误区
当下,软件开发安全的理念很火,各行各业都已认识到保障应用系统开发安全的重要性,但是要真正实现起来,结果却不是那么理想。开发安全难深入、难落地已成为常态。很多时候,尽管你工作很努力,但就是难以进步,主要...
专栏特辑 | 开发安全铁三角纵横谈(十八)安全监测工具漫谈
开发安全铁三角为了能更好地理解今天所讲,请大家先回顾一下之前“开发安全铁三角纵横谈”内容:专栏特辑 | 开发安全铁三角纵横谈(十七)依赖项扫描与容器扫描密码检测是分析你的源代码和git历史中的密码,防...
专栏特辑 | 开发安全铁三角纵横谈(十五)初探开发安全监测建设
开发安全铁三角为了能更好地理解今天所讲,请大家先回顾一下之前“开发安全铁三角纵横谈”内容:专栏特辑 | 开发安全铁三角纵横谈(十四)安全测试阶段、开发安全培训迄今为止,开发安全铁三角第二个角“能力”的...
创业者说丨云起无垠沈凯文:构建新一代开发安全基础设施 让Fuzzing技术为企业赋能
近两年来,随着我国数字化进程的不断推进和深入,网络安全产业迎来了飞速发展的新机遇。日益复杂的网络威胁形势,让网络安全产业的土壤更加肥沃,让那些怀揣着技术理想的安全研究者们逐渐登上时代的舞台,他们希望乘...
安全419《软件供应链安全解决方案》系列访谈——安全玻璃盒篇
本期安全419《软件供应链安全解决方案》系列访谈邀请到一家长期专注于DevSecOps、软件供应链安全领域的老牌企业——杭州孝道科技有限公司(在业内大家更习惯于用另外一个名字去称呼他们——安全玻璃盒,...
专栏特辑 | 开发安全铁三角纵横谈(十二)
开发安全铁三角为了能更好地理解今天所讲,请大家先回顾一下之前“开发安全铁三角纵横谈”内容:专栏特辑 | 开发安全铁三角纵横谈(十一)初探开发安全能力建设(三)安全设计和安全编码阶段在安全设计和安全编码...