- 综合排序
- 最热优先
- 最新优先
技术风险治理:从变更本质到 SRE 实战
技术风险治理:从变更本质到 SRE 实战一切风险来自于变更 —— 这是研发与运维领域最朴素也最深刻的共识。当我们从业务需求拆解出变更请求(CR)时,技术、产品与运营的风险便如影随形。 三、SRE 框架下的技术风险治理实践基于 Google SRE 的方法论,我们可以构建一套从风险识别到闭环治理的落地体系:1. 从心智图到技术图:风险治理的落地路径正如实践中总结的 “心智图→产品图→技术图” 路径,风险治理需要从用户体验出发,逐层拆解到技术实现:心智图(新老用户体验):通过用户调研与行为分析,识别体验层面的风险点 四、总结:风险治理是一场持续的 “渐进式变革”技术风险的本质不是 “要不要变更”,而是 “如何安全地变更”。 从变更请求的风险识别,到架构、时间与跨团队限制的三维治理,再到 SRE 框架下的实践落地,我们需要用系统化的思维应对复杂的技术风险。
19420编辑于 2026-01-25- 来自专栏FreeBuf
议题前瞻 | 开源风险治理实践峰会·北京站
据NVD的数据显示,目前已知的开源漏洞已经达到数万个,安全风险正在持续上升,因此开源风险治理已经迫在眉睫。 基于此,3 月 22 日,FreeBuf 企业安全俱乐部·北京站-「开源风险治理实践峰会」将在北京希尔顿逸林酒店举办。 峰会将邀请专注于业内开源风险治理技术大拿安势信息创始人& CEO、荣耀终端开源软件管理专家、中兴通讯开源合规&安全治理总监等多位重量级人物,从甲方、乙方的角度出发,畅聊开源风险治理的那些事儿~ 议题前瞻 企业开源安全风险管控 中兴通讯开源合规&安全治理总监 项曙明 项曙明,信通院可信开源供应链资深咨询评估师、开源治理标准专家、可信开源治理讲师和金融开源治理社区技术专家。 本次分享将介绍在企业层面如何构建有效的开源安全风险管控机制,形成内驱力,推动组织和项目团队积极进行开源安全治理和风险应对实践。
87120编辑于 2023-03-29 前沿安全框架升级:强化AI风险治理新举措
除了这些能力带来的滥用风险外,还存在源于模型在这些能力水平下采取无定向行动的潜在错位风险,以及此类模型可能融入AI开发和部署过程的风险。 为应对关键能力等级带来的风险,当达到相关的关键能力等级时,会在外部发布前进行安全案例审查。这包括执行详细分析,证明风险已如何降低到可管理水平。 对于高级机器学习研发关键能力等级,大规模内部部署也可能构成风险,因此现在正将这种方法扩展到包括此类部署。细化风险评估流程该框架旨在根据风险的严重程度进行应对。 细化了关键能力等级的定义,特别是为了识别那些需要最严格治理和缓解策略的关键威胁。在达到特定关键能力等级阈值之前以及作为标准模型开发方法的一部分,将继续应用安全和安保缓解措施。 最后,在此次更新中,更详细地阐述了风险评估流程。在核心早期预警评估的基础上,描述了如何进行包含系统性风险识别、模型能力的全面分析以及风险可接受性的明确判定的整体评估。
10110编辑于 2026-01-15- 来自专栏腾讯云智能顾问
【云顾问-云巡检】聚焦架构风险,助力卓越治理
云顾问云巡检功能一直以来着力于打造云上隐患风险发现能力,当前版本已结合云架构可视化能力,全面升级助力客户聚焦云上架构五大类型风险,持续治理优化打造卓越架构! · 当前已上线云巡检插件,在架构图“治理视图”中可随时启用,全面巡检隐患风险。· 聚焦安全、可靠、性能、成本、服务限制 5 大类别巡检项,支持按架构业务特性启停、定制。 · 即时生成巡检报告,聚焦架构相关风险和趋势呈现,治理成果和进展可随时归档到“数字资产”,也可下载、分享。 · 【即将上线】基于自动巡检和各 region 资源自动生成架构图和风险可视化视图,提升架构绘制和治理效率。(敬请期待,相关问题欢迎联系我们)欢迎立即访问云顾问,体验云巡检!
81110编辑于 2024-07-15 - 来自专栏深度学习与python
好大夫在线在解构服务风险治理方面的实践
之后紧接着又发起了服务风险治理项目,识别慢接口,不规范的 SQL,依赖不合理等服务风险。 在大家砥砺前行的完成这两个大项目之后,全站的稳定性得到了大幅度提升。 经过了这两年多的沉淀,现在我来汇报一下在做服务风险治理过程的相关经验心得,希望能带给大家一起启发。 SRE 小组探索服务风险治理已经快两年了,迎来了新版本的迭代。借此机会,想和大家深入聊一下服务风险治理,拓宽彼此认知的边界。 服务风险治理最终目标是为了服务健康,服务的健康体系是个复杂系统,影响因素很多,但我们需要抓住现阶段最大的风险。经过反复的对比,选择从延迟风险入手,也是为了达到公司预期“全站秒开”的大目标。 小 结 本次分享主要基于 MDD 指导思想,以指标为导向,深入分析服务风险模型,讲解了服务风险治理的一般模式,降低服务延迟,规避风险。
52420编辑于 2021-12-16 RPKI中心化风险:架构依赖与安全治理的平衡
因此,如何在利用RPKI增强路由安全的同时,有效防范其内在的中心化风险,成为当前互联网治理领域亟待深入探讨的议题。 本文旨在系统剖析RPKI中心化风险的成因、表现形式及其潜在影响,评估现有缓解机制的有效性,并提出兼顾安全性与去中心化原则的治理框架。 中心化风险的治理挑战与现有缓解机制面对上述风险,当前RPKI生态已发展出若干治理与技术机制以增强透明度与抗脆弱性,但仍存在局限。 协同治理框架的构建为有效应对RPKI中心化风险,需构建技术、制度与社区协同的多层次治理框架,实现安全与去中心化的动态平衡。 其通过密码学手段为路由起源验证提供了技术基础,有效遏制了大规模前缀劫持风险。然而,其依赖RIR作为中心化信任锚点的架构设计,不可避免地引入了权力集中、单点故障与治理脆弱性等新型风险。
37910编辑于 2025-10-17- 来自专栏科技云报道
国内首个《金融行业开源治理白皮书》即将发布,系统梳理开源风险与治理方法
《金融行业开源治理白皮书》即将发布 首次系统梳理开源风险 面对开源软件使用过程中的一系列问题,金融行业该如何规范地使用开源技术,最大化减少使用开源带来的风险? 基于对行业的深刻理解,中国信息通信研究院和浦发银行、农业银行、中信银行等多家拥有丰富开源治理经验的金融机构,共同编写了国内首个《金融行业开源治理白皮书》,并重磅推出了金融开源治理的优秀实践案例,为金融行业积极应对开源风险 此次推出的《金融行业开源治理白皮书》,是国内首次对金融行业的开源风险和治理方法进行系统梳理,也是中国信息通信研究院继2018年发布《开源治理白皮书》和《开源许可证使用指南》以来,对开源标准体系的进一步深化和完善 据悉,《金融行业开源治理白皮书》对金融企业引入开源技术的背景和开源技术的意义进行了全面解读,重点梳理了引入开源可能导致的相关风险,并对金融行业在开源治理方面可以采取的措施给出了建议。 为了让用户更好地规避开源风险,深入理解开源治理,中国信息通信研究院将在2019云计算开源产业大会的“开源治理论坛”上,正式发布《金融行业开源治理白皮书》,并在会上对开源治理的相关内容进行解读。
81620编辑于 2022-04-15 - 来自专栏云计算行业
当代中国社会重大风险的防范与治理
关注腾讯云大学,了解行业最新技术动态 直播详情预告 简 介 从中央关于坚持底线思维,着力防范化解重大风险精神引入,结合国内外几起重大社会风险的典型案例,深入分析当前我国防范化解重大风险的历史背景,系统阐述当代我国社会重大风险的重点领域和防范控制要点 ,并结合这次我国应对新冠肺炎疫情的经验教训,讲解和探索应对重大社会风险事件的应对之策。
29920编辑于 2023-05-29 - 来自专栏绿盟科技研究通讯
云计算安全的新阶段:云上风险发现与治理
三、云计算服务对外暴露的风险 云计算平台和应用均可能对外暴露,这些服务存在被攻击者发现并利用的风险。 图8 Twitter上研究员宣称可控制特斯拉的截图 四、云上攻击面管理 从监管部门的角度,对云上风险进行治理,有助于确保重要数据和关键数据不外泄、重要基础设施(包括政府站点服务、智能网联车、工业互联网等 但云上安全治理在未来一段时间内,涉及到云上资产与风险测绘、梳理云上资产归属,以及相关的治理体系和技术建设,将是一个较为长期、体系化的过程。 从而配合治理体系和流程,根据风险级别和影响范围,逐步将相关系统或服务下线或改造。 从机构的角度,对自身相关的云上风险进行管理和缓解,则是非常必要和可行的。 只有对云化趋势有足够的技术洞察,在软件栈、运营体系上云后,发现并管理暴露的攻击面,持续进行治理和缓解风险,才能更好地防止各类安全事件或数据泄露,保证云上业务的安全性。
1.6K30编辑于 2022-06-06 - 来自专栏OpenSCA
OpenSCA用开源的方式做开源风险治理:Why? What? How?
开源风险治理为何如此重要? 《供应链攻击威胁局势报告》显示,预计2021年的供应链攻击数量将增加至上一年的四倍之多。 OpenSCA技术原理 OpenSCA开源项目建立的初衷是“用开源的方式做开源风险治理”这一理念,将商业级的源鉴OSS开源威胁管控平台部分关键技术开源,为广大企业和开发者提供专业的SCA核心工具与社区生态 基于海量的组件库、漏洞库、许可证库、开源项目库等知识数据能够最大程度的匹配出正确的组件版本和对应的风险信息。 在更大的范围帮助更多的企业实现开源风险治理,助力开源生态健康有序发展。 四. OpenSCA的优势 1. 无需源码,上传二进制文件,即可进行软件成分分析,生成完整安全报告,帮助客户快速获取软件风险。
1.9K20编辑于 2023-02-20 - 来自专栏腾讯安全
2020国家网安周:从源头抓好网络安全风险治理
如何对网络安全风险进行防控治理,保障财产安全,成为社会热议的话题。 、网络诈骗等主要网络安全风险的发展趋势与治理难点,并提出要从源头上对网络安全风险进行系统治理。 源头、系统治理是解决网络安全风险的破题关键 早在今年1月,中央政法工作会议曾提出对新型网络安全风险的防控治理,是2020年国家治理工作的重中之重。 然而,在当前具体的治理进程中,对网络安全风险的治理仍以传统的、打击单个环节的方式进行,难以撼动整个黑灰色产业链的生态,并不能起到显著效果。 未来,只有多方治理、联防联控,从源头进行系统性治理才能应对不断变化的网络安全风险。
99950发布于 2020-09-16 - 来自专栏公共互联网反网络钓鱼(APCN)
2026 年电子邮件认证部署缺陷与安全风险治理研究
,形成 “技术原理 — 部署缺陷 — 风险危害 — 合规驱动 — 落地方案 — 代码验证” 的完整闭环。 本文基于 2026 年行业观测与安全实践,聚焦机构普遍存在的认证部署错误,揭示监控模式陷阱、协议理解偏差、运维缺失等问题,提出可落地的全流程治理方案,为机构实现邮件认证全面强制执行提供理论与技术支撑。 3.3 隔离模式的局限性p=quarantine 将邮件入垃圾箱,但用户常从中恢复可信联系人邮件,攻击者仍可通过伪装实施钓鱼,无法根除风险。 4.2 供应链与下游风险扩散薄弱认证不仅危害自身,还会被用于攻击客户、合作伙伴,形成链式安全事件。 SPF、DKIM、DMARC 技术成熟可靠,但机构普遍存在认知不足、配置错误、长期停留在监控 / 隔离模式等问题,导致域名伪造与 BEC 风险居高不下。
10910编辑于 2026-04-01 腾讯云漏洞治理服务如何精准狙击高危风险?
在网络安全攻防对抗中,漏洞治理是关键防线。然而,传统漏洞管理常面临误报率高、漏报风险大的困境,导致企业安全团队疲于应对。 本文结合腾讯云推出的漏洞治理服务(VGS),解析其如何通过多源情报监测、智能研判分析、AI验证技术三大核心能力,实现漏洞治理的精准化与高效化,助力企业降低误报漏报率,筑牢安全底座。 AI驱动的PoC监测:通过机器学习识别PoC(漏洞验证代码)的传播特征,提前预警0Day风险。例如,在Log4j2漏洞爆发时,VGS在官方通告前2小时即捕获相关PoC信息。 2. T-VPT智能研判:破解误报难题五维风险评估模型:综合CVSS评分、资产价值、漏洞利用条件(如需认证)、影响范围、修复难度,动态计算漏洞优先级。 自动化修复建议:针对高风险漏洞(如远程代码执行类),自动生成兼容性适配的修复路径,减少人工决策时间。 3.
42910编辑于 2025-10-10AI风险管理:从理论到实践的决策指南 | 构建审慎的人工智能风险预防与治理框架
面向深度不确定性的AI灾难风险决策:成本效益平衡点分析框架走向未来人工智能(AI)技术,特别是通用人工智能(AGI)和超级人工智能(ASI)的迅猛发展,正将人类社会带入一个充满无限机遇与潜在风险并存的新时代 二、 解构AI风险:一个多维度灾难事件矩阵为了系统性地应用平衡点分析,我们首先需要对AI风险进行结构化拆解。 这意味着,总风险(概率 × 损失)的分布可能比我们想象的更为复杂,大量的小型事件累积的总风险,可能不亚于一次极端事件的风险。 (三) 整合全谱系风险:让高额投资更具合理性应对AI风险的最佳策略,是将整个风险谱系整合考虑。许多为防范p(cat)而设计的措施,同样有助于减少中小型事件的发生。 最重要的是,要将全谱系的风险整合考虑,利用防控中小型事件所带来的确定性收益,来支持和证明为防范极端风险所做的投资。
59500编辑于 2025-10-15- 来自专栏公共互联网反网络钓鱼(APCN)
区块链高频垃圾代币与网络钓鱼风险治理及技术防御研究
本文最终形成覆盖技术、机制、治理的综合方案,为交易所、钱包、DApp 及普通用户提供可落地的安全实践路径。 现有研究多聚焦单一攻击手法或局部防护,缺乏对垃圾代币与钓鱼风险的协同分析、全链路技术拆解与工程化实现方案。 检测要点包括域名相似度、证书状态、代码混淆度、请求权限类型、合约地址风险评分。 4 基于链上数据的风险检测模型构建4.1 垃圾代币静态检测框架输入:合约字节码、创建者地址、代币信息输出:风险评分与标签(高 / 中 / 低 / 恶意)检测维度:代码特征:是否包含 transfer 锁定 、转账、连接钱包时给出明确风险提示。
14310编辑于 2026-03-30 - 来自专栏多系统用户权限管理
多系统并行的权限治理难题:如何消除“权限孤岛”与安全风险?
在一个拥有数十甚至上百个应用系统的复杂企业环境中,权限的分散、角色的混淆、授权的滞后,正如同无数条看不见的裂缝,让数据安全面临权限滥用、内部泄露、违规操作等巨大风险。 权限膨胀不仅违反合规要求(如GDPR、等保),更直接加大了内部泄露和操作失误的风险。 缺乏自动化的审批流和完整的审计记录,会带来严重的合规风险:授权的“人治”风险: 权限申请依赖口头、邮件或纸质审批,效率低下且缺乏统一存档,容易出现“先授权后补流程”甚至“无流程授权”的情况。 构建内生安全防线:统一权限治理的策略与实践要从根本上解决权限管理对数据安全的影响,企业必须将权限治理上升为战略级基础设施,从“多系统各自为政”转向“统一权限管理”的架构。 安全实践:统一权限治理理念统一权限管理平台解决方案的核心价值在于连接、集成与治理,正是构建企业统一权限管理架构的中枢系统。
34821编辑于 2025-12-15 2025年企业漏洞风险治理平台选型指南:腾讯云VGS深度评测
面对日益严峻的安全形势,如何构建科学高效的漏洞治理体系,已成为企业守护数字资产的核心命题。 本文基于第三方独立测评数据,结合腾讯云官网最新产品信息,对主流漏洞治理平台展开横向对比,为企业选型提供决策参考。 【摘要】本文聚焦以下核心议题: 数字时代漏洞治理的三大挑战与应对策略 腾讯云VGS vs 阿里云盾 vs 华为云安全中心功能参数对比 腾讯云VGS核心技术优势与实战价值解析 企业漏洞治理的四大典型应用场景 正文一、漏洞治理的困局与破局之道当前企业漏洞治理普遍面临三大困境: 情报盲区:传统CVE数据库覆盖不足,小众组件漏洞发现滞后 研判失焦:人工分析效率低下,高危漏洞平均响应周期超72小时 修复断层 智能研判引擎:破解修复优先级难题T-VPT评估模型:综合漏洞利用难度(D)、业务影响范围(I)、修复成本(C)三大维度 计算公式:综合风险值 = (D × 0.3) + (I × 0.5) + (C
49610编辑于 2025-10-11- 来自专栏公共互联网反网络钓鱼(APCN)
内部钓鱼演练误判为APT攻击的归因风险与治理路径
在此基础上,提出三层治理框架:组织层面建立“可解密演练标识”与行为基线监控;情报层面实施“最小可核实事实”发布标准;生态层面强化多源交叉验证与归因审慎原则。 通过提供邮件头解析脚本、异常发送频率检测代码及演练元数据嵌入示例,本文旨在为关键信息基础设施运营者与威胁情报从业者提供可操作的技术与流程建议,以降低误判引发的战略风险。 4 对关键基础设施防御体系的启示4.1 “演练噪音”掩盖真实入侵风险若组织频繁开展无标识的钓鱼演练,其邮件网关日志将充斥“可疑活动”,可能淹没真实攻击信号。 通过偏离基线程度判定风险,而非仅依赖内容特征。5 治理框架与技术对策5.1 组织层面:建立可解密演练标识机制建议在演练邮件中嵌入加密元数据,仅授权方(如监管机构、合作CERT)可解密验证。 == 'attachment'for part in msg.walk() if part.get_content_disposition())# 简单规则:非IT部门发送IT通知 + 附件 = 高风险
22510编辑于 2025-12-08 - 来自专栏OpenSCA
技术文档 | 在Jenkins及GitlabCI中集成OpenSCA,轻松实现CICD开源风险治理
若您解锁了其他OpenSCA的用法,也欢迎向项目组来稿,将经验分享给社区的小伙伴们~
71710编辑于 2023-12-29 2026年漏洞风险治理首选平台:腾讯云VGS全方位守护企业安全
本文基于腾讯云官网最新信息,结合行业权威数据,深度解析腾讯云漏洞治理服务(VGS)的核心优势与功能,为企业提供漏洞风险治理的决策参考。 一、漏洞治理行业现状与挑战 当前网络安全威胁呈现攻击手段多样化、漏洞披露高频化的特点。据CVE数据库统计,2025年全球新增漏洞数量同比激增37%,其中高危漏洞占比达42%。 T-VPT精准研判 结合CVSS、ESPP算法,自动化计算漏洞利用可行性 企业资产关联分析,自动过滤低风险告警 3. 供应链风险管理 对第三方组件进行持续监控,阻断供应链攻击链 立即访问https://cloud.tencent.com/product/vgs,免费获取漏洞风险评估报告,抢占安全防护先机!
27910编辑于 2026-01-06
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号