记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

调查:DevOps版图巨变,安全团队职责不清

GitLab近日的调查显示,随着越来越多的团队采用DevOps,整个软件开发团队的角色已经改变。来自全球21个国家/地区的3,650多名受访者进行的调查发现,DevOps采用和实施新工具的比率不断提高,导致开发人员、安全和运营团队的工作职能、工具选择和组织结构图发生了巨大变化。GitLab首席执行官Sid Sijbrandij说:今年的全球DevSecOps调查显示,成功的DevOps实践人员比以往任何时候都多,他们报告的发布时间大大缩短,真正实现了持续的集成/部署,并且在“安全左移”和安全性方面取得了进展。也就是说,仍有大量工作要做,尤其是在测试和安全领域。
发布时间:2020-05-22 19:38 | 阅读:14242 | 评论:0 | 标签:行业动态 首页动态 devops 安全开发 安全运营

安全开发如何“无痛分娩”?

作者:默安科技发哥一、某“爆款”视频会议软件的市场滑铁卢2020年初,一场突如其来的疫情,使得某知名视频会议系统日活用户从1000万飙升至2亿,资本市场对其一度看好。可好景不长,由于系统被曝出严重的隐私和安全问题,股价随之受挫,商业信誉严重受损,还被诸多政府机构、高科技公司禁用。该视频会议软件的安全事件归根结底是开发安全没做到位,相信其安全团队和开发部门肯定因此经历了很多个不眠之夜。其实早在2004年,微软就提出了SDL,强调安全要在早期开发过程介入,从根本上管控应用安全。在2020年的RSA大会上,专注于将安全集成到DevOps流程中的DevSecOps,更是大放异彩。
发布时间:2020-04-17 20:07 | 阅读:26287 | 评论:0 | 标签:术有专攻 首页动态 DevSecOps 安全开发

默安科技发布首个云平台安全大脑 企业安全步入人工智能时代

首个具备自我进化能力的 “安全大脑”面世。11月1日,默安科技在北京举行“安全计算未来”新品发布会,发布了以安全大脑“Aida”为中心的云平台安全防护解决方案“磐石”,以及企业SDL安全开发解决方案“雳鉴”。默安科技“安全计算未来”新品发布会Aida:带领企业安全步入人工智能时代连续击败世界排名第一围棋天才柯洁的“阿尔法狗”,近日被进化出的升级版“阿尔法元”以100比0的战绩击败,这种“无师自通”的学习模式,在AI整个发展上是具有里程碑意义的,也给予科技界创新的启迪。与人脑相比,人工智能在某些特定领域具有很大优势。
发布时间:2017-11-02 13:10 | 阅读:168353 | 评论:0 | 标签:行业动态 Aida 人工智能 安全开发 默安科技

为什么所有开发人员都需要具备网络安全技术?

除了拥有专家团队,提高全部开发人员的实用安全技术同样重要。 一份最近的研究表明:到2019年,全世界对网络安全专业人才的需求,将导致超过100万个网络安全职位亟待填充;其中需求最甚的,是安全软件开发。毫无意外,公司企业正经历越来越严峻的安全人才荒,打造可靠服务和保持自家用户数据安全所需人才缺口正在扩大。 补足人才缺口和创建更安全产品的一个途径,就是培训和聘用更多的网络安全专业工程师。但是,除了钉在专门网络安全团队里的那些,让公司里所有开发人员的密码学和安全技术都得到提高,也同样重要。
发布时间:2017-02-03 13:20 | 阅读:243537 | 评论:0 | 标签:术有专攻 加密 安全人才 安全开发 安全风险

精益求精的代码却被带漏洞组件毁于一旦

第三方组件可不总是你想象的那样,即省时省力又省成本的利器 应用安全公司Veracode一项新研究显示,几乎全部(97%)Java应用都包含至少1个带已知漏洞的组件。 Veracode报告公司企业所写代码的逐年改进情况,某种程度上,是对不断增长的开源和第三方组件使用风险的积极发现。一个带关键漏洞的流行组件,可扩散至80000多个其他软件组件中,然后又用到可能数百万个软件项目的开发过程中。 软件开发中开源组件的广泛使用,正在公司企业间制造不受控的系统性风险。 Veracode报告还凸显了软件开发中的进步和依然留存的困难。3/5(60%)的应用程序在第一轮扫描中就不满足安全策略。
发布时间:2016-11-02 00:00 | 阅读:116096 | 评论:0 | 标签:行业动态 安全开发 安全漏洞 开发运维 漏洞

安全软件开发的三大错误

许多开发人员如今已经认识到安全软件开发的重要性,但更重要的是,我们必须明白,计划进行安全软件开发和实现它并不是同一回事。实际上,一些软件开发公司首先得将安全完全集成到他们的开发过程中来。时间和资金限制是公司面临的常见阻碍,但开发人员的错误同样能造成该集成过程的延迟或错误导向。下面是开发人员容易犯下的三大错误:错误 #1:项目最后才匆忙上马安全公司企业必须在开发过程之初就有一个安全计划。这种前瞻性可以让开发人员采用安全的架构和设计方法,也能更容易地保证代码的整体安全。一个制定良好的安全计划,对今天的软件用户而言尤其重要,他们期望开发人员给他们提供安全的产品。
发布时间:2016-02-22 17:00 | 阅读:96348 | 评论:0 | 标签:术有专攻 安全开发 漏洞

如何保障科技产品供应链的安全?

你能想像警察局、审讯室,或是在其他布置着警用摄像头的场所,一个黑客可以监视这一切吗?美国一家警用随身摄像头供应商,最近被在其设备上被检测出恶意软件–飞客蠕虫病毒。而且,这款7年前就出现的老计算机病毒感染了这家制造商的多款摄像头。飞客蠕虫病毒自第一个变种开始横行以来已经7年,其长久不衰的事实证明了它是一款非常难以根除的病毒。如果未受防护的系统连接上了这些受到感染的设备,也很有可能被感染。也就是说,警察局的计算机系统可能早已被感染。随着互联网持续深入,日常工作和生活的各种设备制造商,遵从严格的安全协议这一点变得愈加重要。
发布时间:2015-12-10 03:35 | 阅读:115090 | 评论:0 | 标签:术有专攻 牛观点 供应链 安全开发

【安全课堂】缓冲区溢出浅析之二

在《缓冲区浅析之一》里,以针对nMap扫描器的二进制封装为例,我们讨论了一个简单的堆栈缓冲区溢出漏洞。我们展示了动过手脚的命令行参数是如何在堆栈上触发用户数据溢出的。SYN二进制扫描器在将数据提交给堆栈上的固定长度缓冲区之前,并没有对用户提供的缓冲区长度进行检查。在Debugger里进行分析时,我们发现该程序试图访问我们指定的内存地址0xdeadbeef。 这种情况为什么会发生?在回答这个问题之前,很有必要了解一下堆栈调用的工作原理。 每当一个函数被调用,堆栈指针就向下移动到邻近的地址,同时加上调用来源的相关信息,当函数返回时,这一信息按理将被清除。
发布时间:2015-03-16 12:20 | 阅读:98474 | 评论:0 | 标签:安全开发 牛技术 牛观点 C语言 缓冲区溢出 溢出

【安全课堂】缓冲区溢出浅析

许多程序员在编程时都没有遵循一条规则,即操作字符串时,边界检查是必需的。否则,就有可能出现堆栈缓冲区溢出。不管你是一个开发人员,还是测试或研究人员,理解缓冲区溢出的原理都很重要。尽管操作系统和编译器已经提升了安全性,但最好的安全还是自己能够识别并消除这种潜在的编程错误。本文将通过一个编程例子,简要分析堆栈缓冲区溢出的原理和利用。下面是一段对特定目标进行Nmap TCP SYN扫描的源代码:当编译后,这段代码会接受一个命令行参数,然后把它传递给 /usr/bin/nmap作为扫描目标。源代码编译后的二进制文件在此目录中。
发布时间:2015-03-09 00:15 | 阅读:121795 | 评论:0 | 标签:安全开发 牛技术 C语言 缓冲区溢出 溢出

加密妙招:让逆向工程毫无用武之地

软件逆向工程,解构程序分析其运作机制的艺术,高端黑客得以彻底探索代码查找可供利用漏洞的利器。同时,它也是这些黑客的恶意软件被破解和无害化的不二法门。而现在,一个新的加密小妙招就能使黑帽子和白帽子双方的逆向工程工作都很难开展。将于下个月在新加坡举行的SyScan安全大会上,安全研究员Jacob Torrey计划展示他称之为“反逆向工程系统”(HARES)的一种新的机制。Torrey的方法在于加密软件代码,并且只在代码即将被执行的最后一秒才在处理器中解密代码。这将阻止逆向工程工具在程序运行时读取被解密的真实代码。
发布时间:2015-02-25 20:50 | 阅读:93003 | 评论:0 | 标签:安全开发 牛工具 牛技术 代码加密 逆向工程 加密

ADS

标签云