文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
    • 综合排序
    • 最热优先
    • 最新优先
    时间不限
    时间不限
    最近一周
    最近一月
    最近三月
  • 来自专栏快乐阿超

    stream-query开源

    然后使用license-eye,我是用brew install license-eye

    85910编辑于 2024-03-29
  • 来自专栏一个安全研究员

    审计平台 Bombus 开源首发

    这次的开源,十分给力! 陌陌审计平台 ? 很多企业因为面临的监管繁多而不知道从何处入手。 当下企业不仅面临着国内隐私保护、等级保护、内部控制等监管要求,美国上市公司还要遵守SOX法案,一些出海公司更是面临GDPR、CCPA等更为复杂的要求。 随着监管要求的日趋严格和监管标准的日益精细,企业也更加重视工作,成本随之增加。 陌陌安全通过研究监管要求,并结合成熟的落地实践经验,设计开发了一套完善的审计平台,解决了企业在审计过程中面临的痛点,为企业贯彻落实监管要求及日常内部管理提供了便利。 此外,知识库涵盖企业所依据的法律法规,可解析管理要求、控制点、内部制度、检查标准等。APP隐私记录和跟踪现状与进展,对相关文档、评估情况积累沉淀,为应用上架提供支持。

    1.1K30发布于 2020-09-27
  • 来自专栏信安之路

    审计平台 Bombus 开源首发

    沃·兹基硕德小贴士 这次的开源,十分给力! 陌陌审计平台 ? 很多企业因为面临的监管繁多而不知道从何处入手。 当下企业不仅面临着国内隐私保护、等级保护、内部控制等监管要求,美国上市公司还要遵守SOX法案,一些出海公司更是面临GDPR、CCPA等更为复杂的要求。 随着监管要求的日趋严格和监管标准的日益精细,企业也更加重视工作,成本随之增加。 陌陌安全通过研究监管要求,并结合成熟的落地实践经验,设计开发了一套完善的审计平台,解决了企业在审计过程中面临的痛点,为企业贯彻落实监管要求及日常内部管理提供了便利。 此外,知识库涵盖企业所依据的法律法规,可解析管理要求、控制点、内部制度、检查标准等。APP隐私记录和跟踪现状与进展,对相关文档、评估情况积累沉淀,为应用上架提供支持。

    1.3K20发布于 2020-09-28
  • 来自专栏程序猿DD

    陌陌开源审计平台 Bombus

    工作的落地,存在大量检查、审计类重复活动,而且随着企业人员和适用政策的叠加,人工成本也会逐渐上升。 因此,为解决此类问题,我们设计并实施了安全审计系统,将控制落实、检查及跟踪汇报等审计类流程固化到线上系统,实际使用中起到良好效果。 其中业务相关部分主要为资产清单、策略配置和任务为审计主体部分,知识库为的执行标准依据等,APP隐私与工作台为当前工作提供跟踪记录的作用。 2. 知识库&APP隐私&工作台 知识库 知识库是工作开展的基石,涵盖工作所依据的法律法规、内部制度等,让工作做到有据可依。 APP隐私与待办跟踪是为人员记录当前的工作事项及待办事项的记录界面,于此不多介绍。

    1.2K40编辑于 2023-04-04
  • 来自专栏云计算D1net

    云中的性:避免云陷阱

    但这种想法是不切实际的,而且在目前的监管环境中,这是危险的,并且可能是潜在的性陷阱。 ? 当然,组织可以通过提高效率、灵活性和降低业务成本从云计算服务中受益。 云差距 在数据保护条例越来越严格的情况下,更多地使用云计算的举措正在出现。 但是对于性,首席信息官和安全官员面临的关键问题是组织存储的数据类型以及数据的位置。运行自己的内部数据库、档案和存储系统的组织应该能够识别大部分数据的位置。 锁定数据 幸运的是,组织可以采取措施解决云问题。 首先是在特定的提供商服务中限制云计算的使用或将限制用途,而对于数据地理位置则采取健全且透明的策略。 但任何采用云计算的组织都需要意识到,无论他们对IT部门如何改进,都不能将责任推卸出去。而确保云计算提供商符合当前标准是膙尽职调查流程的一部分。

    2.2K40发布于 2018-06-08
  • 来自专栏Cyber Security

    开源开源许可证风险场景详细解读

    前言 接上篇文章所讲,使用开源组件,忽略开源许可证问题是存在风险的,但是关于什么场景下真实存在风险,以及什么样的风险?很多文章也没有讲的很明白,这些内容大部分都隐藏在晦涩难懂的许可证原文里面。 不知道你是否跟我一样看到仅汇总、实施标准、先决条件……,是不是一脸懵,还是不清楚导致这是组件的什么用法,知名SCA工具对于许可证这一点做的似乎并不是特别友好,不知道扫出来一大堆许可证,安全部门或者法务(有些公司许可证问题是由法务部门处理 下面进行一些许可证风险场景整理,以及再总结一张较为口语化的风险对比图…… 弱互惠型许可证 允许代码与闭源软件结合使用,但要求对许可证下的代码修改部分保持开源 即许可证允许你将开源代码与闭源代码一起使用 ,但如果你修改了开源部分的代码,那么你必须将这些修改也开源 举个例子 假设有一个闭源的图像处理软件,使用了一个LGPL许可的图像处理库(例如libpng)来处理PNG文件。 运行环境: LGPL 许可的核心要求在所有语言中都是一致的,即允许动态链接库而无需开源应用程序代码,但静态链接库时需要提供重新链接的机制和开源对库的修改部分。

    52710编辑于 2024-07-18
  • 来自专栏产品那些事

    开源开源许可证风险场景详细解读

    前言接上篇文章所讲,使用开源组件,忽略开源许可证问题是存在风险的,但是关于什么场景下真实存在风险,以及什么样的风险?很多文章也没有讲的很明白,这些内容大部分都隐藏在晦涩难懂的许可证原文里面。 许可证风险对比图不知道你是否跟我一样看到仅汇总、实施标准、先决条件……,是不是一脸懵,还是不清楚导致这是组件的什么用法,知名SCA工具对于许可证这一点做的似乎并不是特别友好,不知道扫出来一大堆许可证,安全部门或者法务(有些公司许可证问题是由法务部门处理 MPL-1.0许可证原文特点:文件级开源:要求对 MPL 许可的代码进行修改的文件必须保持开源,但不要求整个项目开源。这意味着可以将修改后的文件与闭源代码一起分发。 MPL-1.1许可证原文特点:文件级开源:与 MPL 1.0 类似,要求对 MPL 许可的代码进行修改的文件保持开源,但不要求整个项目开源。 商业友好:同样允许将 MPL 许可的代码用于商业项目,只要遵循文件级开源的要求。适用场景:适用于希望在保护代码开源的同时,与其他开源项目进行更好兼容的项目。

    2.2K10编辑于 2024-07-20
  • 来自专栏游戏安全攻防

    APP安全

    安卓安全的违规处理方式:通告--->罚款--->应用下架--->停业整顿。 App安全目前主要采用的是通告手段,虽然不会造成经济损失,但是会给公司带来一定的经营风险。 安卓为什么会比苹果更严峻? ? 安卓应用的安全面临主要问题? (以下只是列出APP安全面临最突出的10个问题) ? 个人隐私安全 个人隐私主要细分为如下的六个大方向,这也是开发APP应用需要重点关注和处理好的个人隐私的问题。 ? 敏感权限 以下是在开发APP应用上会遇到的权限问题,那么对于这些敏感的权限,安全的做法就是通过采用渐进授权方式进行申请权限。 ? 加解密算法安全 ? 数据存储安全 ? APP安全建设的思考 安全开发人员:熟悉负责的产品功能、了解个人 信息采集、使用和展示定制个人隐私政策,并对组员以及APP开发团队进行安全的要求以及做法进行做宣传以及安全应用和监督把控。

    2.9K21发布于 2021-06-10
  • 来自专栏开源服务指南

    开源安全工具 Prowler:覆盖多种框架 | 开源日报 No.308

    ,用于进行安全评估、审计、事件响应、性、持续监控、加固和取证准备。 CIS、NIST 800、NIST CSF、CISA、FedRAMP、PCI-DSS、GDPR、HIPAA、FFIEC、SOC2、GXP、Well-Architected Security、ENS 等多种框架 主要功能和优势包括: 覆盖数百个控制点,涵盖多个框架和自定义安全框架 提供 CLI 和仪表板,支持 AWS、Azure、GCP 和 Kubernetes 可通过 Pip 安装,也提供容器版本 高度灵活的架构 InternVLhttps://github.com/OpenGVLab/InternVL Stars: 4.2k License: MIT InternVL 是一个接近 GPT-4V 表现的可商用开源模型 通过人工评估验证,在中英双语图像生成方面超过其他开源模型,创造了新的最先进水平。

    56410编辑于 2024-07-31
  • 来自专栏做数据的二号姬

    读书|数据实务

    07 2022-11 读书笔记|数据实务 读书系列恢复更新啦~今天要读的书是一本数据相关法律的书籍《数据实务——尽职调查及解决方案》 LEARN MORE 图片来自网络,如侵删 为什么分析师要读法律书 所以说,知识还是多点储备好啊~ 数据对数据分析师意味着什么 从法律工作者的视角来说,数据包括了两个大部分的工作: 第一类是企业运营管理、体系建设中的数据 第二类是公司上市、投融资等重大经营事项中的数据 二是企业数据管理情况 在实际工作中,无非就是两件事:日常数据是怎么处理的,有没有不合的风骚操作,有没有相应的管理制度和机制。 然而,数据性审查里甚至专门有一个part会要求说明公司是否建立了数据分类分级制度,将数据分为哪几个类型、每类数据分为几级、每级数据的保护规则等。 还有一个很重要的点,就是公司处理重要数据的审批制度和流程,这个东西在数据尽职调查的时候也是必须要查的一项。

    1K30编辑于 2023-03-02
  • 来自专栏lib库

    隐私综合实践

    隐私综合实践目录介绍01.整体概述介绍1.1 遇到问题说明1.2 项目背景1.3 设计目标1.4 产生收益分析02.隐私测什么2.1 隐私是什么2.2 为何做隐私2.3 隐私政策案例 2.4 为何做权限04.隐私检测4.1 违规收集个人信息4.2 超范围收集个人信息4.3 违规使用个人信息4.4 过度索取权限4.5 自启动和关联启动05.隐私实践5.1 整体思路5.2 02.隐私测什么2.1 隐私是什么对客户端而言,权限隐私可分为 权限 和 隐私 两个大的方面。 关于针对运行期检查隐私api调用具体可以看:MonitorPrivacy5.3 工具检测权限使用场景新增三方sdk或开源库,有收集个人信息或者权限的,这个时候需要用工具检测。 否则应用市场无法上架很麻烦……新增需求不合不允许上线:新增需求如有不合的地方,但又来不及修改,则延期上线,整改到再上发版准出增加,确认环节:每次发版,产品、研发、测试 都需要负责检查对应的

    2.9K31编辑于 2022-10-12
  • 来自专栏FreeBuf

    如何使用Reposaur检测开源项目代码的

    关于Reposaur Reposaur是一款针对开发平台和开源项目的性检测工具,在该工具的帮助下,广大研究人员可以直接使用预定义或自定义的策略来对目标项目或代码进行审核跟验证,并对数据和配置进行性检测 violation_default_branch_up_to_date_not_required { not protection.required_status_checks.strict } 策略执行 现在,我们就可以使用自定义策略来对真实场景中的数据进行性检测了 , "owner": "reposaur", "repo": "test" } } ] } 许可证协议 本项目的开发与发布遵循MIT开源许可证协议

    1.5K10编辑于 2022-06-08
  • 来自专栏腾讯云代码分析

    【腾讯云代码分析】开源检查规则包上线!

    官方开源仓库: https://github.com/Tencent/CodeAnalysis 开源项目因其灵活性、低成本以及开放式协作的特性深受推崇,为了配合开源热,TCA团队倾心准备了一篮子开源检查规则 ,在内部也已历经多年使用,帮助简化开源流程,助力规避版权、安全、公关等问题。 开源内容 代码中敏感信息内容检查-公司内部系统密码,避免被黑客利用。避免安全风险。 代码中敏感信息内容检查-公司内部IP,避免为黑客提供明确的攻击目标和跳板。避免安全风险。 检查代码中是否存在GPL/AGPL等高传染性风险开源协议的依赖组件代码,避免版权风险。 可按需自定义开源协议的检查范围,支持检查的开源协议列表如下: 其他包括文件编码格式检查,注释率检查等更多检查为开源护航。 本功能代码已提交开源版,欢迎使用!

    53110编辑于 2024-09-27
  • 来自专栏TARS基金会

    开源知识共享|帮助开源法律性的13种方法

    这种情况可以通过每隔X周(取决于开发速度)对整个软件堆栈进行定期的全面扫描,并识别没有相应票据的组件来解决。然后,将为每个组件创建一个新的性票据,并通过正常的性验证过程进行推送。 3. 逐案验证性 在一种情况下批准使用开源软件并不一定适用于所有情况。性问题可能会出现,这取决于特定组件的使用环境,以及它与其他以不同许可证(开源或专有)授权的组件之间的互动。 如果许可证有变化,可能需要创建一个新的票据,请求批准使用现在在不同许可证下许可的开源组件的新版本。 5. 许多组织要求将这些文件附在特定开源组件的票据上,以便为票据的审查人员提供对状态进行正确评估所需的所有信息。 7. 保持讨论的记录 根据之前的做法(保存许可信息),建议在性票据中保存一份导致批准或拒绝特定开源组件的讨论摘要。

    1.7K30发布于 2021-08-24
  • 来自专栏Cyber Security

    开源开源许可证基础知识与风险场景引入

    什么是开源许可证(License)? 很多朋友可能像之前的我一样,二开项目或者使用第三方组件时直接拿来就用了,没有考虑过其背后的"风险"…… 开源许可证有什么用? 写在前面的一句话:开源 ! = 免费 首先来看一下关于开源和免费的定义: 开源: 1、一个源码开放的项目(个人或团队开发) 2、一个友好交流的社区(除了源码的开放,还有社区的开放,人人都可以提issue、pr等) 3、一个产品 ,也可以是开源的 互联网的发展离不开开源社区的建设,很多时候,开源发布的产品难以满足用户的需求。 很多开发同学都不清楚开源许可证的"存在",更别提Boss有这方面的意识了 开源许可证是指用于授权他人使用、修改和分发软件的一种法律文件。

    31910编辑于 2024-07-18
  • 来自专栏产品那些事

    开源开源许可证基础知识与风险场景引入

    为第三方服务就要开源,且开源对象不一定局限于开源代码相关代码,要求通过网络提供服务时也要开源不同的许可证虽然属于同一类型,但是使用者所遵守的要求都是不同开源许可证分类及描述公共代码 ,新建LICENSE文件,粘贴过去修改版权内容照着修改一下就行了上传更新简单push一下Github会自动识别、排版开源-企业开源许可证治理对于个人和企业,我收集整理了需要关注许可证风险的几种场景使用开源软件开发闭源产品风险 建议:确保分发的软件符合所有开源许可证的要求,并提供必要的文档和源代码。修改开源软件并再发布风险:修改开源软件并再发布时,需要遵守原始开源许可证的条款。 开源软件的性管理风险:==缺乏开源软件性管理,可能导致违反许可证条款的风险,影响企业声誉和法律地位(开源社区谴责,舆论风险导致品牌形象受损,企业也会被行业或者地区监管处罚……)。 ==建议:建立开源软件性管理流程,使用SCA工具检测和管理开源组件,确保性。

    2K10编辑于 2024-07-20
  • 来自专栏运维入门时间

    出海技术思考

    如果有关联性立刻想办法进行业务分析 如果进入名单内,可能业务就会再见了 时间点上:本月底做好业务性及跟禁用APP名单无关联性 — 3 — 技术禁令细节及解读 技术禁令细节 一、禁止在美国提供任何支持上述移动应用程序运行或优化的网络托管服务 用不同的公司,如果可以用海外的BVI VIE子公司处理运营 云服务厂商被迫无奈zz选型 数据本地化落盘操作(怎么个落盘 欢迎大家一起探讨) 早期合理多Transit 连接部署(成本的上升) — 5 — 的痛点 额外的外部顾问的费用 内部员工的额外的费用 技术成本额外的维护成本 资源运维的增加 最后 由于作者在一线努力拼(ban)搏(zhuan).过程思考的问题不是很全面,也欢迎大家一起探讨 如何合理的做的操作 我们能做除了让技术工作就是锻炼身体 为祖国母亲奋斗六十年!!! 良好的体魄能让我们在艰辛的生活中提供持久力,让我们更好的为祖(zi)国(ji)母亲奉献自己!

    1.1K20编辑于 2022-05-29
  • 来自专栏全栈工程师修炼之路

    【网安】使用 Promtail - 快速过滤收集Windows事件日志,利器!

    描述:在上一篇文章中,已经将 Windows Server 业务服务器通过 syslog 的方式将系统日志转发到 远程 rsyslog 日志服务器中,但是由于 rsyslog windows agent 诸多限制(太贵了),所以最终放弃了此方法,从而继续查看是否有其他更好的收集Windows 事件日志的方法,通过搜索引擎,最终找到 Promtail 采集 Windows Server 事件日志的配置方法,这里不得不说到国内关于使用 Promtail 采集 Windows Server 事件日志的资料很少,大多只是只言片语,所以作者在实践中遇到的许多的坑,最终是靠着Loki官方日志、和issue以及不断的尝试,这里记录下以便后续有需求的童鞋,也希望各位看友能多多支持《#网络安全攻防实践》专栏,收获一定大于付出。

    1.8K10编辑于 2024-04-17
  • 来自专栏FreeBuf

    安全践行者之路

    由于关键信息基础设施行业与领域承载着国家金融、能源、交通、水利、医疗卫生等关系国计民生的关键信息通信基础设施,直接威胁到国家安全、社会稳定和民众利益,所以基于性的检测方法基础上,关键信息基础设施同时应以行业关键业务为基础

    1.4K20编辑于 2023-03-30
  • 来自专栏云计算D1net

    云计算的

    具体要求包括异地备份的安全性,其复原点目标RPO和复原时间目标RTO,安全的数据中心,加密,用户访问控制,漏洞传播计划,以及可核查的灾难恢复计划。 灾难恢复计划应该提供自动化测试及性报告,以满足灾难恢复监管的具体要求。寻找那些不仅可以测试数据恢复,而且还可以恢复到机器水平的供应商。 ·当前的性。作为一个受监管的公司,其最终停留在当前不断变化的法规责任。你的备份供应商/MSP也应该这样做。许多中等规模符合市场服务也可能跟不上监管的变化。 可以获得定期访问审核是验证性报告的目的。 数据保护供应商地址的HIPAA云计算 数据保护供应商通常为他们的客户服务提供云存储选项,以补充其现有的硬件/软件产品。 而确保正在使用一个供应商的云产品的所有方面保持适当的性水平是很重要的。云计算可能是符合用于数据存储的HIPAA,而不是灾难恢复。

    2.1K100发布于 2018-03-26
第 2 页第 3 页第 4 页第 5 页第 6 页第 7 页第 8 页第 9 页第 10 页第 11 页
点击加载更多

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

领券