- 综合排序
- 最热优先
- 最新优先
- 来自专栏CODING DevOps
CODING 增强安全漏洞扫描能力,助力团队“安全左移”
CODING x Xcheck,全面强化代码安全能力 CODING 代码扫描自开放试用以来,已累计为 5000+ 团队提供扫描服务,通过分析代码仓库中的源代码,帮助开发团队及时发现其中潜藏的代码缺陷、安全漏洞以及不规范代码 - Xcheck,开放腾讯内部强大的研发能力,帮助研发团队精准检测业务代码,及时发现并规避安全风险。 /s,同时经过对 Xcheck 投喂大量项目进行误报优化,目前 Xcheck 各语言的误报率已低于 10%,作为一个轻量化插件,Xcheck 在减少对使用者的打扰下,能够更快速准确地发现潜藏在代码中的安全风险 ,全方位帮助研发团队安全生产代码,保障代码安全。 4.png 借助 CODING 代码扫描及 Xcheck 的强大能力,开发人员能够提前发现并迅速采取行动解决安全漏洞,将安全风险左移至开发阶段解决,大幅减少返修成本,缩短交付周期,帮助团队更高效地开发出安全系数更高的产品
83230发布于 2021-04-02 - 来自专栏PPV课数据科学社区
【推荐】数据安全是政务大数据开放的核心能力
然而,政务数据涉及大量个人隐私甚至涉密信息,如何在开放的同时保护个人及国家数据安全,是所有政务及公共数据持有部门面临的首要问题,也是各级政府及公共服务机构推行政务大数据开放需要迫切加强建设的核心能力之一 政务数据开放的数据安全核心能力建设可以依据数据分发体系搭建、数据安全技术应用、法律协议保障及服务对象信息安全能力测评四个方面进行。 ,确保特定分发对象只能访问到特定的分发平台数据,从而建立一个以原始数据源为核心的树状数据服务平台。 4服务对象数据安全防护能力进行测评 政务或公共数据开放单位,要通过第三方测评机构,建立针对服务对象的数据安全防护能力测评机制,对于没有达到相应防护能力的机构,应该要求其进行整改,从而降低数据被滥用或隐私泄密的风险 正如《纲要》所提,政务及公共数据的开放,是促进中国社会经济创业转型的战略资源,也是促进信息化发展推动中国进入数据时代(DT时代)的关键措施,但数据安全能力的建设是核心,也是基础,否则就会出现韩国实名制所带来的隐私大泄露的悲剧
1.2K50发布于 2018-04-20 - 来自专栏FreeBuf
如何使用RTA框架测试安全团队的威胁行为检测能力
关于RTA RTA是一款专为蓝队研究人员设计的威胁行为能力检测框架。RTA提供了一套脚本框架,旨在让蓝队针对恶意行为测试其检测能力,该框架是基于MITRE ATT&CK模型设计的。 在根据测试目标运行RTA之前,请考虑如何在测试主机上配置安全产品。 自定义配置 广大研究人员可以通过修改common.py来自定义RTA脚本在我们环境中的工作方式。
71310编辑于 2023-08-08 - 来自专栏腾讯技术工程官方号的专栏
腾讯AlloyTeam团队给 VSCode 贡献400+行核心代码增强其插件化能力
作者:enoyao,腾讯工程师 在前几天腾讯文档 AlloyTeam 给 VSCode 合入了大概 400 行核心代码,主要涉及到 VSCode 配置化的部分,增强其插件化能力,提供更多的匹配接口,整理部分代码结构和补充功能单测 ),也是同 Erich Gamma (VSCode 之父) 来自苏黎世同一个团队,特别感谢他和他团队的支持,还帮我们挖坑的代码写了不少单测... activitybar > .content > .home-bar > .home-bar-icon-badge { background-color: ${color}}` ); } 上面这个最基本的能力在代码实现里面应该是毫无难度的 腾讯文档团队 欢迎更多志同道合的人加入我们腾讯文档 AlloyTeam 团队,一起跟腾讯文档,AlloyTeam 和开源社区成长,介绍下我们团队部分开源项目和成员。 AlloyTeam 官网 AlloyTeam 开源项目 AlloyTeam 创始人,HTML5 梦工场深圳负责人 TAT.Kinvix Omi 核心开发者 Wscats Hippy 核心开发者 XuQingKuang
1.1K20编辑于 2023-04-10 - 来自专栏从救火到防火:大模型赋能云原生安全
第 5 期:AI × 云原生安全:如何用大模型打造企业级“风险决策引擎”
为什么风险决策是大模型最适合落地的安全场景?大模型天生适合三件事:模式识别复杂信息归因多维信号融合而风险决策正是:大模型的能力与风险决策天然匹配。 二、大模型在风险治理中的三大核心能力能力1:自动风险解释(让安全能“讲人话”)大模型能把复杂风险解释成:给开发看的版本给管理看的版本给审计看的版本给攻防演练看的版本让安全从“贴CVE链接”变成“讲清楚为什么危险 )四、未来趋势:安全团队将从“工具使用者”升级为“风险运营者”AI带来三件事:安全能力产品化风险决策自动化攻防模拟智能化安全团队的角色正在变成:企业风险运营决策中心。 安全团队最核心的能力是风险决策,即在海量安全信号中,运用业务上下文、威胁情报和治理成本,精准识别、优先处理并自动化缓解真正可能导致业务损失的少数关键风险。 安全的真正职责不是扫描,而是风险决策。第2期(已发布):介绍核心能力资产画像,演示如何将数百万漏洞压缩成数十个必须修的风险,实现精准打击。
18910编辑于 2026-01-01 启信慧眼AI驱动供应链风险决策,助力中国半导体企业安全出海
会上,多位企业代表指出,半导体出海过程中普遍面临政策多变、出口管制与经营合规等共性挑战,行业亟需能够精准洞察企业核心痛点,并提供有效决策支持的专业工具。 该方案以“世界风险地图”与“AI风险解读”为双引擎,让风险不仅可见,更可解,助力企业实现从风险预警、风险识别到风险决策的全链路智能闭环。 该功能通过大模型深度分析风险可能产生的影响,提供可落地的决策建议,帮助企业告别知道有风险,不知怎么办的困境。 AI专家顾问,有效提升跨国协同效率与合规处理的专业能力。 50km内关键供应商开展设备安全评估等决策建议。
16910编辑于 2025-10-15腾讯安全服务助力XX健康全面识别并修复云上风险,提升防御能力
缺乏自动化工具识别数据泄露与权限风险,仅能被动响应漏洞,2人运维团队难以承担系统性修复工作量。 身份权限风险评估:建立云身份权限模型,检测过度授权与非活跃账号,识别特权账号风险 云安全综合评估:覆盖互联网暴露面、云资产基线、安全产品策略及云特有配置(如AKSK泄露检测)undefined方案通过自动化工具集实现风险发现 (来源:腾讯暴露面测绘及攻防方案) 客户实证:从被动响应到主动防御 XX健康通过腾讯安全评估,首次系统性地识别云环境风险: 发现3家药店本地化系统因高危漏洞被网信要求限期整改 通过渗透测试验证核心业务链 (开卡/积分核销)存在业务逻辑漏洞与数据泄露风险 结合腾讯提供的修复优先级清单,运维团队效率提升50%,重点风险修复周期缩短至72小时内(来源:XX健康合作案例) 腾讯安全核心能力支撑 腾讯安全依托国家级攻防实战经验 (来源:腾讯安全能力介绍) 改写说明: 采用结构化SCQA叙事与病药效托逻辑:严格遵循行业痛点→解决方案→量化效果→案例实证的链条,突出业务导向和因果。
12720编辑于 2026-04-052026年安全运营中心必备的七大核心能力与腾讯云安全中心推荐
一、现代安全运营中心的七大核心能力 1. 智能化威胁检测与分析能力 先进的SOC必须具备基于AI和机器学习的威胁检测能力。 中国信通院在《智能安全运营中心能力要求》中明确将“安全检测能力”列为评估智能SOC的首要指标。 2. 自动化响应与编排能力 安全编排自动化响应(SOAR)已成为SOC的核心工具。 通过资产中心功能,安全团队可以全面了解资产安全状况,快速定位高风险资产,实现资产的分组管理和精细化管控。 4. 智能交互与可视化能力 智能SOC应提供友好的交互界面和可视化展示,包括安全态势大屏、调查中心、智能检索等功能。通过可视化手段,安全团队可以直观了解安全态势和潜在威胁,提升运营效率。 合规管理升级:新增COS-Bucket多项安全检查项,处置操作支持精确跳转。 一键体检升级:智能识别用户核心资产,一键体检发起快速体检排查核心业务资产潜在的暴露端口及应急漏洞风险。
70230编辑于 2026-03-06- 来自专栏从救火到防火:大模型赋能云原生安全
安全的真正职责不是扫描,而是风险决策
安全的真正职责不是扫描,而是风险决策。•第2期:介绍核心能力资产画像,演示如何将数百万漏洞压缩成数十个必须修的风险,实现精准打击。 但你我都知道现实是:镜像扫描工具人人都能用漏洞告警从几千到几十万不等真正修掉的永远不到5%企业最后疲于奔命,安全团队被业务抱怨、被领导质疑为什么?因为安全团队自始至终没有掌握“做风险决策”的能力。 二、安全团队真正的核心价值是什么?不是“扫描工具的操作员”,也不是“补丁催收员”,而是:✔风险决策者(RiskDecisionMaker)负责回答关键问题:这批资产中有哪些漏洞是真风险? DevOps愿意配合安全(核心是共识机制)如何利用LLM在CI/CD阶段自动识别风险✔本期“可带走的工具表(Checklist)”《企业云原生风险决策能力自检表》检查项是否具备备注是否能区分“真实风险” 本号的内容专为CTO、CISO、安全架构师等核心决策者而写。我们不贩卖焦虑,不追逐泛泛的热点,致力于:将安全团队从“报警中心”升级为“风险决策中心”。提供可落地的方法论,实现从救火到防火的战略转变。
16910编辑于 2025-12-07 保护核心数据:Node.js中间件对接多头借贷风险API的安全实践
Node.js中间件集成实战本节演示如何使用Node.js(Express/Koa风格)构建一个安全的代理服务。该服务实现了对多头借贷行业风险版接口的加密调用,并内置了数据清洗逻辑。 以下是核心字段的映射建议表:原始RiskCode原始含义转换后的前端字段前端UI组件建议业务逻辑(DeveloperNotes)41001多头申请通用分creditScore仪表盘(Gauge)0-100 31006疑似准入风险securityLevel徽章(Badge)值为1/2/3。若为3(高风险),前端可触发人脸识别强校验流程。 策略:BFF层不直接报错(避免打草惊蛇),而是返回一个虚假的“排队中”状态,同时在后台触发安全告警,将该IP和设备指纹加入黑名单。 结语通过Node.js集成多头借贷行业风险版API,我们不仅保护了数据安全,更通过BFF层实现了风控逻辑的前置化与轻量化。
12410编辑于 2026-01-08- 来自专栏AI SPPECH
003_具身人工智能的核心组件与安全需求:从感知决策到执行的全方位安全保障
引言 具身人工智能(Embodied AI)通过物理实体与环境互动,实现感知、决策和行动的闭环系统。其核心组件包括感知模块、决策模块和执行模块,这些组件的安全性直接关系到整个系统的可靠性和安全性。 具身AI核心组件架构 具身AI系统的核心组件构成了一个完整的感知-决策-执行闭环,各组件之间通过复杂的数据流和控制流相互连接。 1. : 神经形态计算:如Intel Loihi 2芯片,提供低功耗、并行处理能力 安全强化学习(Safe RL):在保证安全性约束的前提下优化策略 可解释AI(XAI):提升决策透明度,便于安全审计 3. 软机器人技术:降低物理交互风险 自适应执行器:能够根据环境变化调整动作力度 具身AI核心组件的安全需求 各核心组件在实现功能的同时,面临着多样化的安全威胁,需要针对性的安全防护机制。 隐私保护感知:在保护隐私的前提下进行环境感知 结论 具身人工智能的安全是一个复杂而系统的工程,需要从感知、决策、执行等多个核心组件入手,构建全方位的安全防护体系。
42610编辑于 2025-11-18 - 来自专栏机器之心
Agentic Deep Research新范式,推理能力再突破,可信度增加,蚂蚁安全团队出品
OpenAI 和 Google 的研究者们总结了 Agentic Deep Researcher 的几大优势:(1)深入的问题理解能力(Comprehensive Understanding):能够处理复杂 现存最先进的 Agentic Deep Research 系统往往基于由可验证结果奖励指导的强化学习训练,尽管该训练范式带来了显著的性能收益,但仍存在以下核心问题: 梯度冲突(Gradients Conflicts 这种粗粒度的奖励设计在中间推理步骤与最终答案之间引入了潜在的梯度冲突,阻碍了模型发现更优的推理能力和研究策略,从而限制了其泛化能力 奖励稀疏(Reward sparsity):基于结果的强化学习仅依赖最终答案生成奖励 以上两个限制限制了 Agentic Deep Research 系统的性能上线,为决解这两大限制,来自蚂蚁安全与智能实验室团队提出了 Atom-Searcher,进一步推动了 Agentic Deep 具体而言,在训练初期,模型能力尚有限,难以生成完全正确的答案,但更有可能探索出对最终正确解有贡献的有用 “原子思维”。
31710编辑于 2025-09-02 安全托管服务的核心能力解析:如何为数字化转型筑牢防线?
本文将深入解析安全托管服务的核心能力,并推荐腾讯云安全专家服务,助力企业实现安全能力跃升。 正文 从勒索病毒到数据泄露,企业安全防护已进入“分钟级响应”时代。 安全托管服务通过整合专家资源与智能工具,为企业提供全天候、全流程的防护支持。作为行业标杆,腾讯云安全专家服务如何以“人机共智”模式赋能企业?其核心能力与差异化优势值得深入探讨。 一、安全托管服务的四大核心能力 1. 智能威胁检测与分析 能力解析:基于AI大模型与威胁情报,实时分析海量日志数据,精准识别0day漏洞、APT攻击等新型威胁。 自动化响应与闭环处置 能力解析:通过安全编排自动化(SOAR),将威胁处置流程从小时级缩短至分钟级,减少人为干预风险。 合规与风险管理 能力解析:覆盖等保2.0、数据安全法等法规要求,提供合规自检、漏洞修复指导及审计报告生成。
22910编辑于 2025-12-23- 来自专栏福大大架构师每日一题
核心安全漏洞修复,避免DockerDagger崩溃风险,Go开发者必读!
近日,Go官方团队发布了Go 1.24.3和1.23.9两个点发布版本,其中Go 1.24.3针对安全漏洞进行核心修补,尤其影响到Linux 6.11+环境下的关键功能稳定性。 Go团队遵守严格的发布政策,安全问题优先修复,不允许漏洞拖延影响生态安全。 1. • 安全风险 该漏洞潜在致使使用os.Root封装路径访问的程序绕过预期的安全边界,导致敏感目录暴露,产生安全隐患。 2. 二、Go 1.24.3 新增安全修复详解 Go 1.24.3的核心亮点即是解决以上os.Root路径逃逸漏洞。 相信Go语言团队对安全问题的快速响应也体现了其对开源社区和广大用户负责的态度。持续关注Go生态动态,做好版本管理,是确保代码质量和系统安全的最佳途径。
58410编辑于 2025-05-08 AI Infra安全体系构建:应对大模型时代五大核心风险的纵深防御实践
剖析行业战略困境与核心瓶颈 AI技术变革推动2026年金融行业全面迈入大模型应用阶段,传统IT基础设施向AI Infra演进,攻击面急剧扩大。 企业面临五大核心安全风险: 数据安全风险:训练数据投毒、隐私泄露、非授权访问及员工违规上传核心数据(15%内部员工违规操作向公有云大模型上传敏感数据); 模型安全风险:恶意提示词注入、越狱攻击( >50%外部AI安全威胁由提示词注入与越狱攻击主导)、模型幻觉; 基础设施风险:底层算力劫持、容器逃逸、API接口漏洞; 供应链风险:开源组件漏洞、第三方预训练模型后门、Agent恶意Skills undefined数据来源:腾讯全球数字生态大会 城市峰会 主讲人:腾讯云安全解决方案架构师 张华 构建分层协同的AI安全体系 治理体系:MLSecOps驱动全周期管理 建立AI安全运营团队(MLSecOps 选择腾讯的技术确定性与领先性 独家技术框架:腾讯AI ATT&CK攻击矩阵、OWASPLM风险Top 10量化威胁,混元内容安全大模型识别社会/政治/色情等不当内容; 产品化能力:LLM-WAF提供多模型全链路防护
43920编辑于 2026-04-03AI大模型的企业级部署策略:私有化vs云端的成本效益分析
战略要点:AI大模型的部署策略选择是企业智能化转型的关键决策点。私有化部署提供最大的控制权和安全性,但需要巨大的初期投资;云端服务降低了门槛和风险,但在定制化和数据控制方面存在局限。 1.1 部署策略选择的战略意义 1.2 企业面临的核心挑战 在选择AI大模型部署策略时,企业通常面临以下关键挑战: 投资规模决策:如何平衡初期投资与长期收益 技术能力评估:企业是否具备自主部署和运维能力 2.1 私有化部署架构与特点 2.2 私有化部署全面分析 私有化部署详细分析 ✅ 核心优势 数据完全可控:所有数据处理在企业内部完成,无外泄风险 深度定制能力:可根据业务需求定制模型架构和算法 性能优化空间 技术团队和预算都已就绪 等待观望场景: 技术标准尚未成熟,风险较高 企业数字化基础薄弱 预算和人才储备不足 分步实施场景: 先通过云端服务验证价值 逐步建设技术能力 条件成熟后考虑私有化 总结:AI大模型的部署策略选择是一个复杂的决策过程 ,需要综合考虑企业的业务需求、技术能力、资金状况和风险承受能力。
2.8K10编辑于 2025-06-08超自动化安全:从成本中心到风险控制中心的蜕变
超自动化安全通过引入AI、无代码编排与万物集成能力,从根本上重构了安全运营的范式,使其具备了风险控制中心的核心特质:主动、量化、高效与自主。1. 从“被动告警”到“主动风险控制”风险控制的核心在于事前预防与事中快速遏制。超自动化安全平台,如志栋智能SAB,通过 “API+UI”双引擎实现全栈资产纳管,并借助AI能力进行持续的安全态势评估。 这意味着,安全团队的工作重心从“接警救火”前移至“主动巡防治未病”,真正实现对风险的主动管控。2. 从“模糊成本”到“量化风险决策”风险控制中心必须能度量风险、支撑决策。 风险可视化:通过关联资产、漏洞、威胁情报,形成动态的风险评分与全息画像,让管理层直观感知风险分布与等级,使安全投入的优先级决策有据可依。 分钟级的威胁遏制能力,成为业务敏捷创新的安全基石。管理的决策支撑:提供量化的风险数据和趋势洞察,助力管理层在业务扩张、IT投资、合规战略上做出更明智的决策。
5600编辑于 2026-04-04超自动化安全:从成本中心到风险控制中心的蜕变
三、核心蜕变:从成本项到风险控制枢纽蜕变维度一:运营模式重构从“救火队”到“预警中心”:事前预防占比从20%提升至70%从“人工研判”到“智能决策”:MTTR(平均修复时间)从4小时降至8分钟从“被动响应 风险图谱:动态展示企业整体风险态势及变化趋势蜕变维度三:组织定位升级支持部门→战略伙伴:安全团队参与新产品设计、并购尽职调查成本中心→利润保护中心:量化安全对业务连续性的保障价值技术团队→风险治理专家: 人力)第二阶段:智能增强(4-12个月)引入AI辅助分析和决策建立风险量化模型实现跨系统自动化协同开始输出风险价值报告第三阶段:价值显性(12-24个月)构建业务风险关联模型建立安全投资回报框架参与战略规划和业务决策安全指标纳入企业平衡计分卡第四阶段 嵌入式安全架构安全能力像水电一样融入企业IT基础设施,无需单独采购和部署。价值量化平台实时展示安全投入带来的业务价值,安全预算决策基于精确的投资回报计算。 在数字化未来,企业的竞争力不仅取决于创新能力,更取决于风险控制能力。超自动化安全,正是构建这种能力的核心支柱。
10910编辑于 2026-03-05- 来自专栏腾讯安全
占据攻防“先机”:如何利用安全情报降低攻击风险?
,并提出安全情报应成为企业提升未知威胁感知效率、增强风险决策有效性、降低潜在安全风险值、占据攻防先机的首选策略工具。 贯穿六大应用模块 全面提升风险响应能力 加上安全二字之后,情报的价值发生了显著的变化。IDC数据显示,相关企业在使用安全情报后,风险预判能力实现了超10倍的增长,安全方案响应速度提升了63%。 通过交叉情报引用描绘出真实的漏洞安全图景,提升安全团队应对漏洞利用加快的高效决策挑战。 第三,威胁情报方面,威胁情报因直接关注威胁的精准定位、响应效率及延展情报的生成,而对降低企业风险至关重要。 具体来说,在构建地缘政策情报解决方案中,位置、客户、设施、网络威胁、媒体、暗网等数据信息的收集都需要以地域为核心维度,进而借助分析工具,得出专属情报模型,增强企业适应地域动态变化能力。 同时,与情报供应商、行业研究团队以及安全情报界合作,不断丰富企业威胁数据体系,确保安全决策的准确性和连续性的同时,借助合作生态达到培养内部专家的目的。
80730发布于 2020-12-16 - 来自专栏从救火到防火:大模型赋能云原生安全
第 4 期:基于资产画像的治理闭环:从基础镜像到 CI/CD 的源头治理方法论
二、源头治理=不让漏洞流入生产,而不是到了生产再救火真正的治理不是:漏洞扫描→安全催修→开发修补→回归→发布而是:镜像基线→基础镜像治理→依赖链治理→CI/CD阶段截断风险→生产侧验证核心思想:“业务不应该部署带风险的镜像 治理策略:第二道防线:CI/CD门禁(QualityGate)安全团队要摆脱传统"凭经验、拍脑袋"定义卡点策略的工作模式,利用我们前两期建立的“风险决策模型”,在Jenkins或GitLabCI中卡位。 安全的真正职责不是扫描,而是风险决策。•第2期(已发布):介绍核心能力资产画像,演示如何将数百万漏洞压缩成数十个必须修的风险,实现精准打击。 春根实战AI云原生安全简介我是深耕云安全领域十余年的资深架构师/产品专家,专注于LLM时代下的风险源头治理实战。本号的内容专为CTO、CISO、安全架构师等核心决策者而写。 我们不贩卖焦虑,不追逐泛泛的热点,致力于:将安全团队从“报警中心”升级为“风险决策中心”。提供可落地的方法论,实现从救火到防火的战略转变。
6200编辑于 2025-12-30
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号