- 综合排序
- 最热优先
- 最新优先
- 来自专栏快乐阿超
stream-query开源合规
//github.com/JSQLParser/JSqlParser - name: com.google.protobuf:protobuf-java license: BSD-3- : MIT url: https://checkerframework.org/ - name: org.hamcrest:hamcrest license: BSD-3- - name: org.mybatis:mybatis license: Apache-2.0 url: https://www.mybatis.org/mybatis-3 url: https://github.com/ota4j-team/opentest4j - name: org.ow2.asm:asm license: BSD-3- Clause url: http://asm.ow2.io/ - name: org.postgresql:postgresql license: BSD-3-Clause
91110编辑于 2024-03-29 - 来自专栏一个安全研究员
合规审计平台 Bombus 开源首发
这次的开源,十分给力! 陌陌合规审计平台 ? 很多企业因为面临的监管繁多而不知道从何处入手。 当下企业不仅面临着国内隐私合规保护、等级保护、内部控制等监管合规要求,美国上市公司还要遵守SOX法案,一些出海公司更是面临GDPR、CCPA等更为复杂的合规要求。 随着监管合规要求的日趋严格和监管标准的日益精细,企业也更加重视合规工作,合规成本随之增加。 陌陌安全通过研究监管要求,并结合成熟的落地实践经验,设计开发了一套完善的合规审计平台,解决了企业在合规审计过程中面临的痛点,为企业贯彻落实监管要求及日常内部管理提供了便利。 此外,知识库涵盖企业合规所依据的法律法规,可解析管理要求、控制点、内部制度、检查标准等。APP隐私合规记录和跟踪现状与进展,对相关文档、评估情况积累沉淀,为应用上架提供支持。
1.2K30发布于 2020-09-27 - 来自专栏信安之路
合规审计平台 Bombus 开源首发
沃·兹基硕德小贴士 这次的开源,十分给力! 陌陌合规审计平台 ? 很多企业因为面临的监管繁多而不知道从何处入手。 当下企业不仅面临着国内隐私合规保护、等级保护、内部控制等监管合规要求,美国上市公司还要遵守SOX法案,一些出海公司更是面临GDPR、CCPA等更为复杂的合规要求。 随着监管合规要求的日趋严格和监管标准的日益精细,企业也更加重视合规工作,合规成本随之增加。 陌陌安全通过研究监管要求,并结合成熟的落地实践经验,设计开发了一套完善的合规审计平台,解决了企业在合规审计过程中面临的痛点,为企业贯彻落实监管要求及日常内部管理提供了便利。 此外,知识库涵盖企业合规所依据的法律法规,可解析管理要求、控制点、内部制度、检查标准等。APP隐私合规记录和跟踪现状与进展,对相关文档、评估情况积累沉淀,为应用上架提供支持。
1.3K20发布于 2020-09-28 - 来自专栏程序猿DD
陌陌开源合规审计平台 Bombus
因此,为解决此类问题,我们设计并实施了安全合规审计系统,将控制落实、合规检查及跟踪汇报等合规审计类流程固化到线上系统,实际使用中起到良好效果。 其中业务相关部分主要为资产清单、策略配置和任务为合规审计主体部分,知识库为合规的执行标准依据等,APP隐私合规与工作台为合规当前工作提供跟踪记录的作用。 2. 为整个合规审查的基石, 数据采集的来源。这里资产类型分为应用系统、数据库和操作系统。审计范围则对应不同的审计规格。 3. 知识库&APP隐私合规&工作台 知识库 知识库是合规工作开展的基石,涵盖合规工作所依据的法律法规、内部制度等,让合规工作做到有据可依。 APP隐私合规与待办跟踪是为合规人员记录当前的工作事项及待办事项的记录界面,于此不多介绍。
1.2K40编辑于 2023-04-04 - 来自专栏云计算D1net
云中的合规性:避免云合规陷阱
但这种想法是不切实际的,而且在目前的监管环境中,这是危险的,并且可能是潜在的合规性陷阱。 ? 当然,组织可以通过提高效率、灵活性和降低业务成本从云计算服务中受益。 云合规差距 在数据保护条例越来越严格的情况下,更多地使用云计算的举措正在出现。 但是对于合规性,首席信息官和安全官员面临的关键问题是组织存储的数据类型以及数据的位置。运行自己的内部数据库、档案和存储系统的组织应该能够识别大部分数据的位置。 锁定数据 幸运的是,组织可以采取措施解决云合规问题。 首先是在特定的提供商服务中限制云计算的使用或将限制用途,而对于数据地理位置则采取健全且透明的策略。 但任何采用云计算的组织都需要意识到,无论他们对IT部门如何改进,都不能将合规责任推卸出去。而确保云计算提供商符合当前标准是膙尽职调查流程的一部分。
2.2K40发布于 2018-06-08 - 来自专栏Cyber Security
【开源合规】开源许可证风险场景详细解读
前言 接上篇文章所讲,使用开源组件,忽略开源许可证问题是存在合规风险的,但是关于什么场景下真实存在风险,以及什么样的风险?很多文章也没有讲的很明白,这些内容大部分都隐藏在晦涩难懂的许可证原文里面。 不知道你是否跟我一样看到仅汇总、实施标准、先决条件……,是不是一脸懵,还是不清楚导致这是组件的什么用法,知名SCA工具对于许可证这一点做的似乎并不是特别友好,不知道扫出来一大堆许可证,安全部门或者法务(有些公司许可证合规问题是由法务部门处理 下面进行一些许可证风险场景整理,以及再总结一张较为口语化的风险对比图…… 弱互惠型许可证 允许代码与闭源软件结合使用,但要求对许可证下的代码修改部分保持开源 即许可证允许你将开源代码与闭源代码一起使用 ,但如果你修改了开源部分的代码,那么你必须将这些修改也开源 举个例子 假设有一个闭源的图像处理软件,使用了一个LGPL许可的图像处理库(例如libpng)来处理PNG文件。 运行环境: LGPL 许可的核心要求在所有语言中都是一致的,即允许动态链接库而无需开源应用程序代码,但静态链接库时需要提供重新链接的机制和开源对库的修改部分。
54810编辑于 2024-07-18 - 来自专栏产品那些事
【开源合规】开源许可证风险场景详细解读
前言接上篇文章所讲,使用开源组件,忽略开源许可证问题是存在合规风险的,但是关于什么场景下真实存在风险,以及什么样的风险?很多文章也没有讲的很明白,这些内容大部分都隐藏在晦涩难懂的许可证原文里面。 许可证风险对比图不知道你是否跟我一样看到仅汇总、实施标准、先决条件……,是不是一脸懵,还是不清楚导致这是组件的什么用法,知名SCA工具对于许可证这一点做的似乎并不是特别友好,不知道扫出来一大堆许可证,安全部门或者法务(有些公司许可证合规问题是由法务部门处理 LGPL-3.0-only许可证原文特点:是LGPL的最新版本,基于GPLv3。改进了对软件专利、DRM(数字版权管理)等现代问题的处理。更明确的国际化和法律术语,增强了许可证的适用性。 增加了与更多开源许可证(如Apache、BSD)的兼容性。进一步明确了法律术语和条件,增强了许可证的可操作性。EUPL-1.2许可证原文特点:进一步增强了与其他开源许可证的兼容性,包括GPLv3。 AGPL 3.0许可证原文特点:由自由软件基金会(FSF)发布,基于GPL v3。保留了AGPL 1.0的网络交互条款,要求提供源代码。增强了对专利诉讼的保护。
2.3K10编辑于 2024-07-20 - 来自专栏用九智汇分享
数据视角下的隐私合规3
自从《个人信息保护法》颁布以来,对于金融/汽车/新零售等处理大量个人敏感信息的企业来讲,个人数据使用在企业内部变成一个“谈虎色变”的问题,有合规意识的业务开始拉上合规、法务、安全团队开启评估审批 今天这篇文章我们来谈谈个人数据使用环节的合规问题。 时时勤拂拭,勿使惹尘埃 基于同意的合规路径是我们使用/共享个人数据的最常用手段,对于企业而言,合规的同意管理复杂而严格,Cristiana Santos, Nataliia Bielova等学者结合 但对于输出ID画像的隐私计算方案,比如SGX,隐私求交等技术的合规性,其实并没有充分保障,它依然无法解决数据来源的合法性问题,无法绕开个人信息保护影响评估等合规义务,无法绕开单独同意,也并非匿名化方案, 数据流通利用系列 | 同意管理平台:高效数据合规的技术方案探索-叶玲 3. 苹果隐私政策重大升级,Facebook为何强烈反对? 4.
58610编辑于 2023-11-01 - 来自专栏游戏安全攻防
APP安全合规
安卓安全合规的违规处理方式:通告--->罚款--->应用下架--->停业整顿。 App安全合规目前主要采用的是通告手段,虽然不会造成经济损失,但是会给公司带来一定的经营风险。 安卓合规为什么会比苹果更严峻? ? 安卓应用的安全合规面临主要问题? (以下只是列出APP安全合规面临最突出的10个问题) ? 个人隐私安全合规 个人隐私合规主要细分为如下的六个大方向,这也是开发APP应用需要重点关注和处理好的个人隐私合规的问题。 ? 敏感权限合规 以下是在开发APP应用上会遇到的权限问题,那么对于这些敏感的权限,安全合规的做法就是通过采用渐进授权方式进行申请权限。 ? 加解密算法安全合规 ? 数据存储安全合规 ? APP安全合规建设的思考 安全开发人员:熟悉负责的产品功能、了解个人 信息采集、使用和展示定制个人隐私政策,并对组员以及APP开发团队进行安全合规的要求以及做法进行做宣传以及安全合规应用和监督把控。
2.9K21发布于 2021-06-10 - 来自专栏开源服务指南
开源安全工具 Prowler:覆盖多种合规框架 | 开源日报 No.308
,用于进行安全评估、审计、事件响应、合规性、持续监控、加固和取证准备。 CIS、NIST 800、NIST CSF、CISA、FedRAMP、PCI-DSS、GDPR、HIPAA、FFIEC、SOC2、GXP、Well-Architected Security、ENS 等多种合规框架 主要功能和优势包括: 覆盖数百个控制点,涵盖多个合规框架和自定义安全框架 提供 CLI 和仪表板,支持 AWS、Azure、GCP 和 Kubernetes 可通过 Pip 安装,也提供容器版本 高度灵活的架构 通过人工评估验证,在中英双语图像生成方面超过其他开源模型,创造了新的最先进水平。 此外,还将设计可 3D 打印部件和机械动画系统。
59710编辑于 2024-07-31 - 来自专栏做数据的二号姬
读书|数据合规实务
07 2022-11 读书笔记|数据合规实务 读书系列恢复更新啦~今天要读的书是一本数据相关法律的书籍《数据合规实务——尽职调查及解决方案》 LEARN MORE 图片来自网络,如侵删 为什么分析师要读法律书 所以说,知识还是多点储备好啊~ 数据合规对数据分析师意味着什么 从法律工作者的视角来说,数据合规包括了两个大部分的工作: 第一类是企业运营管理、合规体系建设中的数据合规 第二类是公司上市、投融资等重大经营事项中的数据合规 二是企业数据合规管理情况 在实际工作中,无非就是两件事:日常数据是怎么处理的,有没有不合规的风骚操作,有没有相应的管理制度和机制。 然而,数据合规性审查里甚至专门有一个part会要求说明公司是否建立了数据分类分级制度,将数据分为哪几个类型、每类数据分为几级、每级数据的保护规则等。 还有一个很重要的点,就是公司处理重要数据的审批制度和流程,这个东西在数据合规尽职调查的时候也是必须要查的一项。
1K30编辑于 2023-03-02 - 来自专栏腾讯云代码分析
【腾讯云代码分析】开源合规检查规则包上线!
官方开源仓库: https://github.com/Tencent/CodeAnalysis 开源项目因其灵活性、低成本以及开放式协作的特性深受推崇,为了配合开源热,TCA团队倾心准备了一篮子开源合规检查规则 ,在内部也已历经多年使用,帮助简化开源合规流程,助力规避版权、安全、公关等问题。 开源合规内容 代码中敏感信息内容检查-公司内部系统密码,避免被黑客利用。避免安全风险。 代码中敏感信息内容检查-公司内部IP,避免为黑客提供明确的攻击目标和跳板。避免安全风险。 检查代码中是否存在GPL/AGPL等高传染性风险开源协议的依赖组件代码,避免版权风险。 可按需自定义开源协议的检查范围,支持检查的开源协议列表如下: 其他包括文件编码格式检查,注释率检查等更多检查为开源护航。 本功能代码已提交开源版,欢迎使用!
54110编辑于 2024-09-27 - 来自专栏FreeBuf
如何使用Reposaur检测开源项目代码的合规性
关于Reposaur Reposaur是一款针对开发平台和开源项目的合规性检测工具,在该工具的帮助下,广大研究人员可以直接使用预定义或自定义的策略来对目标项目或代码进行审核跟验证,并对数据和配置进行合规性检测 功能介绍 1、使用了Rego策略语言实现自定义策略; 2、提供了简单、易于使用的命令行接口; 3、支持使用简单的SDK进行扩展(Go编写); 4、报告遵循标准的SARIF格式,便于与不同系统集成; 5 violation_default_branch_up_to_date_not_required { not protection.required_status_checks.strict } 策略执行 现在,我们就可以使用自定义策略来对真实场景中的数据进行合规性检测了 , "owner": "reposaur", "repo": "test" } } ] } 许可证协议 本项目的开发与发布遵循MIT开源许可证协议
1.6K10编辑于 2022-06-08 - 来自专栏lib库
隐私合规综合实践
隐私合规综合实践目录介绍01.整体概述介绍1.1 遇到问题说明1.2 项目背景1.3 设计目标1.4 产生收益分析02.隐私合规测什么2.1 隐私合规是什么2.2 为何做隐私合规2.3 隐私合规政策案例 2.4 为何做权限合规04.隐私合规检测4.1 违规收集个人信息4.2 超范围收集个人信息4.3 违规使用个人信息4.4 过度索取权限4.5 自启动和关联启动05.隐私合规实践5.1 整体合规思路5.2 针对2,App或者Sdk收集用户信息频率超过合规范围,尽可能保证全局只收集1次(最多不超过3次),收集频次不要超过1次/秒。客户端如何做? 关于针对运行期检查隐私合规api调用具体可以看:MonitorPrivacy5.3 工具检测权限使用场景新增三方sdk或开源库,有收集个人信息或者权限的,这个时候需要用工具检测。 否则应用市场无法上架很麻烦……新增需求不合规不允许上线:新增需求如有不合规的地方,但又来不及修改,则延期上线,整改到合规再上发版准出增加,合规确认环节:每次发版,产品、研发、测试 都需要负责检查对应的合规项
3K31编辑于 2022-10-12 - 来自专栏TARS基金会
开源知识共享|帮助开源法律合规性的13种方法
这种情况可以通过每隔X周(取决于开发速度)对整个软件堆栈进行定期的全面扫描,并识别没有相应合规票据的组件来解决。然后,将为每个组件创建一个新的合规性票据,并通过正常的合规性验证过程进行推送。 3. 逐案验证合规性 在一种情况下批准使用开源软件并不一定适用于所有情况。合规性问题可能会出现,这取决于特定组件的使用环境,以及它与其他以不同许可证(开源或专有)授权的组件之间的互动。 如果许可证有变化,可能需要创建一个新的合规票据,请求批准使用现在在不同许可证下许可的开源组件的新版本。 5. 许多组织要求将这些文件附在特定开源组件的合规票据上,以便为票据的审查人员提供对合规状态进行正确评估所需的所有信息。 7. 保持讨论的记录 根据之前的做法(保存许可信息),建议在合规性票据中保存一份导致批准或拒绝特定开源组件的讨论摘要。
1.8K30发布于 2021-08-24 - 来自专栏Cyber Security
【开源合规】开源许可证基础知识与风险场景引入
什么是开源许可证(License)? 很多朋友可能像之前的我一样,二开项目或者使用第三方组件时直接拿来就用了,没有考虑过其背后的"风险"…… 开源许可证有什么用? 写在前面的一句话:开源 ! = 免费 首先来看一下关于开源和免费的定义: 开源: 1、一个源码开放的项目(个人或团队开发) 2、一个友好交流的社区(除了源码的开放,还有社区的开放,人人都可以提issue、pr等) 3、一个产品 ,也可以是开源的 互联网的发展离不开开源社区的建设,很多时候,开源发布的产品难以满足用户的需求。 很多开发同学都不清楚开源许可证的"存在",更别提Boss有这方面的意识了 开源许可证是指用于授权他人使用、修改和分发软件的一种法律文件。
32010编辑于 2024-07-18 - 来自专栏产品那些事
【开源合规】开源许可证基础知识与风险场景引入
= 免费首先来看一下关于开源和免费的定义:开源:1、一个源码开放的项目(个人或团队开发) 2、一个友好交流的社区(除了源码的开放,还有社区的开放,人人都可以提issue、pr等) 3、一个产品(好的项目同时也是一个好的产品 为第三方服务就要开源,且开源对象不一定局限于开源代码相关代码,要求通过网络提供服务时也要开源不同的许可证虽然属于同一类型,但是使用者所遵守的要求都是不同开源许可证分类及描述公共代码 ,新建LICENSE文件,粘贴过去修改版权内容照着修改一下就行了上传更新简单push一下Github会自动识别、排版开源合规-企业开源许可证合规治理对于个人和企业,我收集整理了需要关注许可证风险的几种场景使用开源软件开发闭源产品风险 开源软件的合规性管理风险:==缺乏开源软件合规性管理,可能导致违反许可证条款的风险,影响企业声誉和法律地位(开源社区谴责,舆论风险导致品牌形象受损,企业也会被行业或者地区监管处罚……)。 ==建议:建立开源软件合规性管理流程,使用SCA工具检测和管理开源组件,确保合规性。
2.2K10编辑于 2024-07-20 - 来自专栏运维入门时间
出海合规技术思考
如果有关联性立刻想办法进行业务分析 如果进入名单内,可能业务就会再见了 时间点上:本月底做好业务合规性及跟禁用APP名单无关联性 — 3 — 技术禁令细节及解读 技术禁令细节 一、禁止在美国提供任何支持上述移动应用程序运行或优化的网络托管服务 用不同的公司,如果可以用海外的BVI VIE子公司处理运营 云服务厂商被迫无奈zz选型 数据本地化落盘操作(怎么个落盘 欢迎大家一起探讨) 早期合理多Transit 连接部署(成本的上升) — 5 — 合规的痛点 额外的外部顾问的费用 内部员工的额外的费用 技术成本额外的维护成本 资源运维的增加 最后 由于作者在一线努力拼(ban)搏(zhuan).过程思考的问题不是很全面,也欢迎大家一起探讨 如何合理的做合规的操作 我们能做除了让技术合规工作就是锻炼身体 为祖国母亲奋斗六十年!!! 良好的体魄能让我们在艰辛的生活中提供持久力,让我们更好的为祖(zi)国(ji)母亲奉献自己!
1.1K20编辑于 2022-05-29 - 来自专栏全栈工程师修炼之路
【网安合规】使用 Promtail - 快速过滤收集Windows事件日志,合规利器!
默认目标每3秒检查一次。 [poll_interval: <duration> | default = 3s] # 用于事件呈现的LCID(区域设置ID) # - 1033 to force English language ] # 添加到从windows事件日志读取的每条日志行的标签 labels: [ <labelname>: <labelvalue> ... ] 温馨提示:默认情况下,事件每 3
1.9K10编辑于 2024-04-17 - 来自专栏FreeBuf
安全合规践行者之路
3、缺乏完善的评估机制与恢复系统 当前业界缺少统一的评估安全问题标准以及脆弱性的评估机制,且遇到问题后难以及时恢复安全。重点工作环节的缺失,将带来安全风险与隐患,难以有效保障评估制度的落实和制定。 如数据业务是移动运营商的关键业务之一,主要为手机上网用户提供2G/3G/4G/5G的上网业务,从数据产生到传输再到接收的完整业务链中可能会涉及到的所有系统及设备间的级联风险,如数据业务会涉及本地分组域、 由于关键信息基础设施行业与领域承载着国家金融、能源、交通、水利、医疗卫生等关系国计民生的关键信息通信基础设施,直接威胁到国家安全、社会稳定和民众利益,所以基于合规性的检测方法基础上,关键信息基础设施同时应以行业关键业务为基础
1.4K20编辑于 2023-03-30
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号