上一篇文章《从 cicd-goat了解供应链安全风险(上)》我们主要介绍了 cicd-goat 靶场开始之前的准备工作,以及Easy部分的分析过程。同时,我们介绍了 CI/CD OWASP-Top10...
从cicd-goat了解供应链安全风险(上)
写在前面最近在公司做 CI/CD 安全专项,做了很多调研,检测防护工具、方法论等,也分析过一些供应链投毒的 case,但总感觉不够系统不成体系。所以希望通过 cicd-goat 靶场,对整个研发运维流...
从供应链切入,0Day打穿靶标的全流程实战
前言整体的思路梳理:1.对某靶标单位信息收集,发现靶标某个站点系统为通用系统。2.对该通用系统供应商进行信息收集。3.拿下该供应商CICD系统,从而得到目标通用系统源码。4.代码审计,组合拳0day成...
Raven:一款功能强大的CICD安全分析工具
关于RavenRaven是一款功能强大的CI/CD安全分析工具,该工具旨在帮助广大研究人员对GitHub Actions CI工作流执行大规模安全扫描,并将发现的数据解析并存储到Neo4j数据库中。R...
DevSecOps CICD管道中数字供应链安全的集成策略
更多全球网络安全资讯尽在邑安全1.前言在敏捷开发的模式下,应用程序会通过 DevSecOps 的敏捷软件开发生命周期(SDLC)范式进行开发,并使用持续集成/持续交付(CI/CD)管道的流程。然而,在...
CICD之 Gitea Security
本文围绕CICD的Gitea风险进行分析,简单介绍了Gitea是什么,以及常见的风险及利用方式Gitea 基础Gitea是一个用Go编写的自托管的社区管理的轻量级代码托管解决方案。基本结构Gitea的...
CICD之Atlantis安全
CICD系列第三篇,可能相对数据安全这种热门、渗透技能这类常青树来说,相对偏冷门点,很多时候在遇到大型互联网企业的架构时,往往会发现关于CICD发版流程中的一些知识点比较难找,主要是可能我也不会,所以...
CICD之Kubernetes 安全
本篇介绍CICD中的K8S安全,之前发过关于Gitea的安全,感兴趣的公众老爷们可以去看看CICD之 Gitea Security,关于k8s的安全,也是边摸索边看,写的不好的地方多多担待介绍众所周知...
OWASP TOP 10 合集
一、OWASP 大语言模型应用程序十大风险近日,OWASP发布了Top 10 for Large Language Model Applications项目,旨在教育开发人员、设计师、架构师、经理和组...
使用gitlab的cicd
原文始发于微信公众号():使用gitlab的cicd
cicd-goat:一个包含漏洞的CICD安全学习靶场环境
关于cicd-goat cicd-goat是一个故意包含大量漏洞的CI/CD安全学习靶场环境,广大研究人员可以使用cicd-goat来学习关于CI/CD安全的相关内容,并通过各种挑战并拿到Flag来更...
什么是CICD?
原文始发于微信公众号():什么是CICD?