- 综合排序
- 最热优先
- 最新优先
- 来自专栏云云众生s
开源软件安全指南
将开源软件 (OSS) 组件集成到您的 软件供应链 中时,至关重要的是超越仅仅评估组件功能。 通过了解这些因素,组织可以增强其有效管理相关风险和确保安全软件供应链的能力。 定义 OSS 安全性 随着开源软件现在支撑 全球大部分数字基础设施,安全性比以往任何时候都更加重要。 这种主动方法有助于确保组织不仅能从开源创新中受益,还能保护其运营免受潜在威胁。 评估 OSS 安全性 确保 SDLC 中 OSS 的安全性需要一种主动且结构化的方法。 使用安全测试工具和技术可以规范您的分析,帮助查明漏洞并确保符合安全标准。 依赖管理:鉴于依赖各种开源库和组件,细致的软件依赖管理至关重要。 相关文章: 开源安全供应链走向成熟的2023年 提升级别:软件安全的游戏化之道 xz开源攻击时间线 5步实现军用级API安全 如何有效管理XDP/eBPF以获得更好的DDoS保护
1.1K10编辑于 2024-05-10 - 来自专栏云云众生s
开源安全工具与商业安全工具的对决
Snyk 是向左移动安全的首批和最大的支持者之一,它通过一种新颖的方法在开发人员的工作流程中打开拉取请求(PR)来缓解在开源包中发现的通用漏洞披露(CVE),我们已经将这一理念发扬光大,并讨论了天生向左的安全 自从首次推出了其用于开源的 SCA 扫描器(这是他们的知名产品)以来,Snyk 已经添加了相当多的工具到其套件中,以提供更全面的安全性。 基准测试安全平台与开源替代方案 从零开始构建 Jit 时,我们明确这种整合方法确实是安全的正确方法,但执行最终决定了我们作为一个行业是否成功。 在构建一个真正可行的安全编排平台时,我们有幸进行了大量研究——是的,研发中经常被忽略的那个关键部分——我们想探索商业工具与开源工具的世界,并了解为用户提供什么以提升我们作为一个行业的水平。 我们知道代码和开源包一样重要,就像所部署的软件的云配置一样重要。这只能通过启用开发者选择他们想要的任何工具来实现——开源或商业——并在开箱即用的基础上策划和扩展一组非常出色的开源控件。
37810编辑于 2024-03-28 - 来自专栏绿盟科技研究通讯
开源软件安全性分析
然而,在开源软件带来高效开发的同时,也带来了快速增长的软件漏洞的安全问题。对于那些有意破坏网络安全环境的人或组织而言,针对软件供应链的攻击是一个极具吸引力的切入点。 本文将从两方面出发,先对本年度的开源安全现状进行分析和说明,然后针对软件生态系统中存在的安全问题,总结了多种开源软件的安全研究动态。 二. 从一份报告看开源现状 本节引用synk.io公司发布的开源安全调查报告,针对2021年4月至2022年3月收集的130多万个项目,从OSS的开发组织、软件依赖关系、关联漏洞等维度了解开源世界的安全现状, 开源组件的安全研究 本节总结了6篇与开源安全相关的论文,研究方向包括供应链生态分析、开源软件漏洞风险分析、开源软件应用风险分析和软件识别。 最终,开源软件是一条双向的道路:开源软件的消费者必须对OSS社区做出贡献,以确保他们所依赖的依赖关系的健康和可行性。仅仅使用开源软件而不做出贡献是不够的。
1.3K20编辑于 2023-02-22 - 来自专栏深度学习与python
OpenSSF 发布开源项目安全基线
作者 | Sergio De Simone 译者 | 平川 策划 | Tina 为了帮助开源项目维护者保证项目安全,开源安全基金会(OpenSSF)发布了一套基于国际网络安全框架、标准和法规的指南 :开源项目安全基线。 他们认识到, OpenSSF 基线有可能与其他开源安全方案重叠,包括 CISA 和 NIST 的方案。 此外,基线的定义还考虑了欧盟《网络弹性法案》(CRA)和美国国家标准与技术研究院(NIST)《安全软件开发框架》(SSDF)中的要求,以便维护者和开源软件制造商可以依据它来更好地满足监管要求。 此外,他还强调,重要的是要理解,开源安全应该是维护者和使用其项目的公司共同承担的责任。因此,“如果你希望看到一个项目成熟,你就有责任帮助它”。 目前尚没有自动化工具可以用来证明项目是否符合基准。
30310编辑于 2025-04-18 - 来自专栏信安之路
开源安全平台 wazuh 架构介绍
安全圈的大事刚刚结束,安全圈的小伙伴也从加班的阴影中走了出来,这期间,学习写文章投稿的人很少,估计还是忙吧,大考结束之后,大家可以放松一下,然后继续学习新知识,打基础,为了迎接下一次的挑战而做准备。 做安全防御,入侵检测是必不可少的,而入侵检测通常分为网络层面和主机层面,今天就来看一个带有主机入侵检测功能的安全平台,他不止包含主机入侵检测的功能,还包含其他的一些功能,比如:基线漏洞监控、合规性扫描, 这个项目的名称是 WAZUH,官网地址: https://wazuh.com/ 作为一个优秀的开源产品,详细的文档是必不可少的,大家可以前往人家官网查看: https://documentation.wazuh.com 详细的介绍请看: https://documentation.wazuh.com/current/getting-started/architecture.html 日志数据收集 安全平台基本上就是一个日志收集
6.3K70发布于 2019-07-05 - 来自专栏FreeBuf
开源软件安全现状分析报告
然而,开源软件中存在大量的安全隐患,企业在享受开源软件带来的便利的同时,也在承担着巨大的安全风险。近年来,开源软件频繁爆出高危漏洞,例如Strusts2、OpenSSL等。 美国首先认识到开源软件安全问题的重要性,早在2006年,美国国土安全部就资助Coverity公司开展“ 开源软件代码测试计划”,针对大量开源软件进行安全隐患的筛查和加固,截至2017年2月,累计检测各种开源软件 这给信息系统安全风险的管控带来了极大的挑战,系统的运维者不清楚自己正在运行的软件系统中是否包含了开源软件,包含了哪些开源软件,这些开源软件中是否存在安全漏洞! “360开源项目检测计划”愿与国内广大软件开发者一起,关注和防范开源软件安全风险,为国内软件的安全开发水平提高贡献一份力量。 ,并可以帮助客户持续跟踪这些开源软件的安全状况,及时防范安全风险。
2.2K50发布于 2018-02-27 - 来自专栏大龄程序员的人工智能之路
几个开源 RUST 安全算法库
从头编写算法不太现实,上网搜了一下,还好已经有一些 开源 RUST 安全算法库,基于现有的开源代码实现更加可行。下面就介绍一下 RUST 加解密库,并选择一个项目作为基础,实现国密算法。 SM3 Rustls 项目地址:https://github.com/rustls/rustls Rustls 是一个 Rust TLS 库,底层使用 ring ,目标是为 TLS 1.2 或更高版本提供安全功能和组件 使用安全随机数的 AES128-GCM 和 AES256-GCM 批量加密。 ChaCha20-Poly1305 批量加密 (RFC7905)。 ALPN 支持。 SNI 支持。 rust-openssl 项目地址:https://github.com/sfackler/rust-openssl 这个项目为流行的 OpenSSL 加密库提供了一个安全的接口。
3.3K10编辑于 2023-10-08 - 来自专栏Bypass
甲方安全开源项目收集
前阵子,我发布了一份甲方安全开源清单,不少朋友帮忙反馈,得到了大大的补充,重新整理了一份项目清单。 https://github.com/DefectDojo/django-DefectDojo Fuxi-Scanner:一款开源的网络安全检测工具,适用于中小型企业对企业信息系统进行安全巡航检测。 https://www.ossec.net/ Wazuh:一个免费的,开源的企业级安全监控解决方案,用于威胁检测,完整性监控,事件响应和合规性。 http://www.codeforge.cn/article/331327 Security Onion:免费开源网络安全监控系统。 https://www.kismetwireless.net/ SIEM/SOC OSSIM:开源安全信息管理系统,它是一个开源安全信息和事件的管理系统,集成了一系列的能够帮助管理员更好的进行计算机安全
3.8K51发布于 2019-07-30 - 来自专栏信安之路
开源软件安全检测工具 murphysec,让你使用的开源代码更安全
软件供应链能不能像传统生产矿泉水 的供应链一样安全有保障 让每一个开发都能够更安全的使用开源代码,让每一家企业都能够安全的管理软件供应链。 关于 murphysec murphysec 是墨菲安全开发的一款开源软件安全检测工具,致力于帮助每一个开发者更安全的使用开源代码。 ,轻松识别代码中使用了哪些存在安全缺陷的开源组件,通过准确的修复方案和一键修复功能,快速解决安全问题。 二、Jenkins 集成安全检测能力 可以将墨菲安全开源检测工具集成到 Jenkins 中,提高线上代码安全质量 集成方式 1. 安装墨菲安全开源检测工具 在 Jenkins 机器上安装墨菲安全开源检测工具最新版本,访问 GitHub Releases 页面下载,或执行以下命令: wget -q https://s.murphysec.com
4.7K10编辑于 2022-05-23 - 来自专栏旅途散记
谷歌的开源供应链安全
摘要 谷歌在开源软件供应链安全方面的工作 介绍供应链安全概念和不同类型的攻击案例 加强理解软件供应链,探索构建、分析方法 使用加密签名、构建可重现的构建流程保障供应链安全 提倡内存安全编程语言如 今天的演讲主题是Google的开源供应链安全。首先,让我们了解一下“供应链安全”到底是什么意思。通常,当我们谈论供应链安全时,是指针对供应链攻击的工程防御。现在,我们需要定义什么是供应链攻击。 (何为开源供应链安全?软件本身不一定是开源的,但用到的出现问题的组件需要是开源的) 我在其定义中添加在交付之前,因为这些更改不是在传输过程中发生的,这是供应链攻击与传统攻击的根本区别。 现在我们可以将开源供应链安全定义为防御开源供应链攻击和开源供应链漏洞的工程。 Google推动的开源供应链安全方法包括鼓励项目采用并记录最佳构建实践。
59410编辑于 2023-12-19 - 来自专栏FreeBuf
免费开源软件的潜在安全风险
Linux基金会和哈佛大学创新科学实验室的研究人员进行了广泛调查和深入研究,得出了有关企业内常用的免费开源软件(FOSS)的一些重要结论与潜在安全风险。 ? 其次,他们还发现,需要更加安全地保护开发人员的账号,那些积极为某些广泛部署开源软件做贡献的人员。第三个发现是,与其他较旧的硬件或软件技术一样,开源社区中的旧版软件包日益危险。 在确定常用的开源软件时,研究人员考虑了FOSS软件包或组件与其他企业应用程序和系统之间可能存在的从属关系。 目的在于确定和衡量企业环境中常用的FOSS,了解该软件的安全性等。 随着对FOSS的依赖日益增长,政府、研究人员和组织通过审核、漏洞赏金计划、黑客马拉松和会议更好地了解开源软件的来源和安全。Nagle说:“第一步是要真正了解企业所依赖的FOSS组件。 为了进一步确保安全,重要的是对正在使用的FOSS组件情况以及支持和维护工作有个共识。 研究人员的另一个发现是,与旧版不受支持的软件或硬件版本一样的是,旧版开源组件也面临风险。
3K10发布于 2020-03-05 - 来自专栏CNCF
开源SPIFFESPIRE的安全审计报告
几年前,CNCF 开始为项目执行和开源第三方安全审计,以提高我们生态系统的整体安全性。 这些审计有助于识别安全问题,从一般的弱点到关键的漏洞,并为项目维护者提供了解决已识别的漏洞并添加文档以帮助用户的路线图。 审计集中在三个方面:SPIRE 项目和软件综合体的安全态势、SPIRE 代码库的源代码审计,以及针对 SPIRE 部署的渗透测试。 审计发现,SPIRE 是一个考虑到安全性而创建的安全项目。 Cure53 团队在项目中没有发现任何严重的(或关键的)安全缺陷。 SPIRE 项目维护者 Evan Gilman 说:“我们不仅获得了有价值的反馈,帮助我们提高了 SPIRE 软件和流程的质量,而且我们还能够验证我们解决这一困难和安全关键问题的方法是可靠的,经得起仔细审查
1.2K40发布于 2021-08-26 - 来自专栏netservice
安全要求之开源软件实现
安全管理中心系统 OSSIM OSSIM即开源安全信息管理系统(OPEN SOURCE SECURITY INFORMATION MANAGEMENT),是一个非常流行和完整的开源安全架构体系。 OSSIM通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台。 它的目的是提供一种集中式、有组织的、能够更好地进行监测和显示的框架式系统。 开源堡垒机/运维审计系统 Jumpserver Jumpserver是全球首款完全开源的堡垒机,使用 GNU GPL v2.0 开源协议,是符合 4A 的专业运维审计系统。 开源的web应用防火墙 Web应用防火墙提供应用层的安全。从本质上讲,WAF提供全面的web应用安全解决方案,确保数据和Web应用程序是安全的。 OpenWAF Art of defense是一个总部设在旧金山的Web应用程序的安全性提供者上开源OpenWAF的2011年2月启动了一个项目。
1.6K20编辑于 2022-04-24 - 来自专栏运维研习社
开源镜像仓库Harbor的镜像安全
之前介绍过Harbor,从安装部署到简单使用,今天这里就不再重复介绍了,有需要的可以跳转到'Harbor 功能强大的企业级私有仓库'查看,今天主要介绍Harbor的安全功能——镜像漏洞扫描 Harbor Trivy是默认扫描器,也可以更改默认扫描器,另外除了这两种扫描器,你也可以添加其他扫描器 扫描器的使用方法有几种,自动、主动、定时 自动扫描,就是在镜像上传到Harbor仓库时,自动进行扫描,通过定义部署安全级别 ,阻止某些安全级别的镜像,上传到Harbor,这部分配置在项目配置中 ? 则配置好定时扫描周期,保存后,Harbor会按照固定周期定时扫描仓库中的所有镜像 Harbor漏洞扫描还有个功能,就是CVE白名单,有时候有一些CVE我们想要忽略,就是这个CVE代号的漏洞,不在我们考虑的安全范围内 项目白名单,就直接在项目中进行配置,添加cve对应的cveid,并设置过期时间即可 系统白名单,需要在系统管理——配置管理——系统设置——部署安全性中进行添加 ?
3K20发布于 2020-06-12 - 来自专栏AI
开源网络安全大模型 - SecGPT
网络安全大模型是指使用大量数据和参数来训练的人工智能模型,它可以理解和生成与网络安全相关的内容,例如漏洞报告、利用代码、攻击场景等。 目前各家网络安全厂商也纷纷跟进在大模型方面的探索,但可供广大从业者研究的特有网络安全大模型屈指可数,最近,云起无垠开源了他们的网络安全大模型SecGPT,该模型基于Baichuan-13B训练,目前已接近 数据预训练数据收集了安全书籍,安全知识库,安全论文,安全社区文章,漏洞库等等安全内容数据集开源地址:https://huggingface.co/datasets/w8ay/security-paper-datasets 有监督数据chatgpt+人工构造各类有监督安全能力数据集,让模型能了解各类安全指令。 总之,网络安全与大模型的结合必将是未来发展的重要趋势之一,我们也期待能看到更多的安全大模型和数据集被开源出来,更多安全相关的创新应用面向市场。
1.3K10编辑于 2024-08-27 - 来自专栏TSINGSEE青犀视频
Google开源的WebRTC技术安全吗?
也许大家经常被问到" WebRTC安全吗?"一句话...是的。 WebRTC是安全的,并采取了许多安全措施以确保数据保持安全。 这使WebRTC本质上更安全,因为它提供了额外的保护级别,可抵御可能伪装成插件的恶意软件或其他不良软件安装。 此外,由于WebRTC是作为浏览器的一部分提供的,因此倾向于通过浏览器供应商的自动更新来快速解决任何潜在的安全威胁或漏洞。 加密的首选方法是在DTLS(数据报传输层安全性)握手中使用完美的前向保密(PFS)密码来安全地交换关键数据。 对于音频和视频,然后可以使用密钥数据生成AES(高级加密标准)密钥,然后由SRTP(安全实时传输协议)使用AES密钥对媒体进行加密和解密。 极其安全的连接,而当前的技术无法打破这种连接。
1.5K20发布于 2021-05-08 - 来自专栏开源小分队
这款良心安全的开源笔记真香
大家好,我是爱撸码的开源大叔! 大家觉得一款好的笔记软件是怎样的? 个人觉得应该是能在10s内开始记录或短时间内能查找到想要的笔记最佳,今天介绍这款就是 -- Leanote! 使用 Leanote云笔记产品包括: Leanote Web & Server(即本仓库), 桌面客户端, IOS, android. 4端全部都是开源的。所以我们如果搭建好了,就全终端都可以用了。
61730编辑于 2022-12-07 - 来自专栏WalkingCloud
开源安全平台Wazuh的部署与体验
Wazuh简介 Wazuh 是一个免费、开源和企业级的安全监控解决方案,用于威胁检测、完整性监控、事件响应和合规性。 ? (图片可点击放大查看) github地址: https://github.com/wazuh Wazuh由部署到受监视系统的端点安全代理和管理服务器组成,管理服务器收集和分析代理收集的数据。 此外,Wazuh已与Elastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。 (图片可点击放大查看) 下面介绍Wazuh开源安全平台部署与体验 1、导入ova虚拟机 ? (图片可点击放大查看) ?
18.6K71发布于 2021-08-06 - 来自专栏猫头虎博客专区
开源软件的漏洞响应:应对安全威胁
开源软件的漏洞响应:应对安全威胁 摘要 本文深入探讨了开源软件在面临安全漏洞和威胁时的漏洞响应策略。 通过详细分析漏洞的定义、漏洞响应流程以及漏洞修复的最佳实践,我们将了解开源社区是如何积极应对安全威胁,确保软件的安全性和可靠性。 引言 随着数字化时代的到来,开源软件在各个领域中的应用越来越广泛。 然而,开源软件也面临着安全漏洞和威胁的风险。为了确保开源软件的安全性,及时响应和修复漏洞变得至关重要。本文将探讨开源软件的漏洞响应策略,帮助读者了解如何有效地应对安全威胁。 了解漏洞的分类有助于更好地识别和应对安全风险。 漏洞响应流程 漏洞的发现与报告 漏洞可以由开发者、安全研究人员或用户发现。一旦发现,应当及时报告给开源项目的维护者。 # 更新系统以修复漏洞 sudo apt update sudo apt upgrade 总结 开源软件的漏洞响应策略对于确保软件的安全性至关重要。
41810编辑于 2024-04-09 - 来自专栏信安之路
开源代码监控系统助力企业安全
而在庞大的数字的背后,每天却发生着大量的安全泄露!我们需要实时监控 GitHub,防止出现重大安全事故。 0x02 码小六 今天介绍一款 GitHub 代码泄露监控工具 - 码小六,基于 PHP + Laravel 构建,开源免费,为企业安全保驾护航! 关键字的选择 公司邮箱后缀、域名、项目标识是不错的选择,如果能在公司推行安全规范,在每个项目工程内放置唯一标识,并将此标识作为扫描关键字便能实现精准监控。
1.3K20发布于 2020-06-23
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号