回答情况:
提问时间:
问题标签:
1回答
当您不是开发人员时,是否有一个良好的容器漏洞管理最佳实践?
目前,我正试图弄清楚如何为一家公司建立一个适当的供应链风险管理系统,因为该公司只使用码头映像作为标准部署模型,但没有任何内部开发功能。为了正确地管理它,作为一个dev org,您需要为您的基本映像提取Dockerfile并自己构建映像,包括漏洞扫描、SCA和SAST。此图像存储在您自己的注册表中,您可以使用该图像作为基本图像。
浏览 0修改于2023-05-12得票数 2
有人知道管理Web应用程序安全漏洞的方法吗?我正在寻找一个工具,可以集成硒和或打嗝。我想要一遍又一遍地做测试。在应用程序中,我们需要在应用程序中的某个点来利用某些漏洞。
浏览 0修改于2016-01-08得票数 -2
渗透测试是否可以被视为详尽的漏洞管理计划的一部分?P.S:我明白渗透测试和漏洞评估之间的区别。但我想知道两者是否都属于漏洞管理的保护伞?
浏览 0提问于2013-05-01得票数 5
回答已采纳
当运行漏洞扫描时,通常会报告Node.js的特定版本易受攻击,并建议将其更新到更高的版本。然后,我们还有不安全的SSL/TLS协议,比如TLS 1.0和SSL3.0,建议完全禁用它们。如何确保新的Node.js版本不会引入更严重的弱点/漏洞?改变管理是如何适应这一点的?最后,更新Node.js版本或禁用不安全的TLS/SSL协议是一个更改请求,不是吗?
📷
浏览 0修改于2020-06-16得票数 2
作为一名安全工程师,我想知道web应用程序第三方JS依赖漏洞管理的通用方法。我们有很多应用程序依赖Jquery等,在常规的漏洞扫描中,旧版本的JS库(其中很多版本都有XSS )报告为漏洞。我们有这样的情况:我们将问题归类为漏洞,而不提供实际的XSS攻击。然而,由于努力,开发团队并不乐意对其进行升级。他们建议通过编辑图书馆来解决问题。那么,当您遇到一个已知漏洞的旧JS库时,该怎么办呢?通过查看源代码上的更改来修复旧版本?(我猜这是最糟糕的主意
浏览 0提问于2021-03-01得票数 2
1回答
我正在寻找一些开源工具来管理来自漏洞扫描的数据。我的公司使用Tenable,Mcafee漏洞管理器,acunetix,appscan进行漏洞扫描。寻找一些工具/方法来管理VA扫描。我是否可以继续使用Openfisma,或者是否有其他工具可用于VA审计管理?
等待你的答复..。
浏览 0提问于2015-02-13得票数 1
Spring文档说,记住我是通过在cookie中存储以下信息来实现的-
为什么要通过网络传输这些信息呢?为什么不在服务器上维护加密安全的随机数映射和此信息,只将映射密钥作为cookie返回。AFAIK --这是S
浏览 1修改于2012-09-28得票数 9
回答已采纳
我使用nsp对我的项目进行了一些安全性测试,发现了我的依赖项扩展中的一个漏洞,解决方案是将我的包版本升级到1.1.7或更高版本:↳ gulp-nodemon 2.2.1 ↳ gulp
浏览 2提问于2017-12-28得票数 0
回答已采纳
也许这将为某些人节省一个小时或几个小时的调试时间。在Swift中实现XML解析器,类似于Objective-C,看起来很简单:{}
parser.delegate=CustomParser()这段代码会失败,并出现非常无用的运行时错误(访问不佳)。
浏览 1提问于2014-09-29得票数 1
该漏洞记录在中。这个补丁应该是分支,就像在 /2.8/wp-login.php- 的190行记录的那样--我的问题是-这个补丁足够了吗?如果没有,有什么建议吗?
浏览 0修改于2009-09-03得票数 1
回答已采纳
(ME)带来了安全风险(例如,请参阅这里 )。据我所知,我是英特尔vPro的一部分。没有vPro支持的Intel是否意味着ME功能不全,因此不那么容易受攻击?我在互联网上看到了多个(非权威的,没有链接的)声明,最近所有的Intel CPU都启用了ME。我搞不懂没有vPro支持实际上意味着什么是关于ME和相关的安全问题。
浏览 0提问于2017-09-23得票数 2
回答已采纳
我正在用Spring构建一个站点,它需要身份验证才能访问某些页面。我决定在REST端实现自定义身份验证,在接收到有效的用户名和密码后,它将返回:JWT存储在cookie上,它仅是HTTP,安全,并且只从客户端站点域有效(它足以对抗csrf攻击吗?)
我能想到的唯一后门是,如果攻击者窃取了cookie,我就可以为该cookie向JWT有效负载添加一个唯一的随机值(存
浏览 0提问于2017-03-28得票数 2
回答已采纳
我有一个Glassfish 4.1.1服务器,有一个用MCafee漏洞管理器进行的漏洞扫描,发现服务器在管理服务器(端口4848)上有泄漏漏洞FID 10109 (端口4848)我搜索并且只找到目录横向漏洞的解决方案,有谁解决了这个漏洞?
浏览 8提问于2017-03-15得票数 2
回答已采纳
第一人称单数:我发现了HP电源管理器中的一个漏洞.第三人称单数,名字: Bob发现了HP电源管理器中的漏洞.第三人称单数,一般:测试人员发现了HP电源管理器中的一个漏洞。
第三人称单数,攻击者:攻击者发现了HP电源管理器中的漏洞.
浏览 0提问于2016-01-27得票数 39
回答已采纳
我必须控制所有系统的安全问题,错误,补丁,漏洞。之后,我将更新和检查所有Unix系统。我需要采取通知的Unix系统或我需要管理面板的管理系统。当我搜索网页时,我发现了一个网站:securitytracker.com,它发送电子邮件通知漏洞。此外,我需要报告最新的漏洞,补丁和其他系统。如何管理此系统以应对最新的漏洞?对此有什么建议吗?
浏览 0修改于2016-07-01得票数 1
回答已采纳
3回答
一个用户问我是否建议使用Dashlane密码管理器。我知道其他密码管理器有一些重大的安全问题,包括XSS和CSRF (见下文)。Dashlane密码管理器易受这些问题的影响吗?例如,以下发表的研究论文分析了五个流行的密码管理器(LastPass、RoboForm、My1login、Passwordbox和NeedMyPassword)的安全性,并在其中四个中发现了安全漏洞:皇帝的新密码管理器:基于的密码管理器的安全性分析。这些漏洞范围很广,从花园XSS
浏览 0提问于2014-12-09得票数 13
回答已采纳
在某些情况下,我们有(服务器环境) go漏洞。此漏洞的源看起来类似于管理单元。你有什么解决办法吗?/快照/管理单元/16292/usr/lib/管理单元/管理单元在1.17.2之前的1.16.9和1.17.x之前,当使用GOARCH=wasm
浏览 0修改于2022-08-16得票数 0
我参与了一个关于内部漏洞管理计划的谈话。一种说法是,管理层一般不愿意承担风险,其目的应该是减轻风险,最好是以修补的形式。问题是,没有人愿意为修复漏洞而把钱放在桌面上,因为这些产品或产品将在几个月后退役。
我现在在想,他们是不是已经在某种程度上接受了不提供资金来修复漏洞的风险,或者这更像是一个忽视的例子?此外,在这种情况下,难道不应该有一个正式的风险管理过程来权衡利用漏洞可能造成的损失和代价吗?
浏览 0修改于2020-01-14得票数 1
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号