容器凭借其经济高效的优势改变了应用程序的交付方式,随着容器的普遍使用,管理应用程序基础设施的IT劳动力和资源也显著减少。然而,在保护容器和容器化生态系统时,软件团队遇到了许多障碍。尤其是习惯于更传统的网络安全流程和策略的企业团队。从理论上来说,容器看起来似乎能够提供更好的安全性,因为容器将应用程序与主机系统彼此隔离开来。但实际真的如此吗? 让我们来看一组市场数据。据美国商业资讯报道,到2
Kubernetes(K8s)是现代云原生世界中的容器管理平台。它实现了灵活、可扩展地开发、部署和管理微服务。K8s能够与各种云提供商、容器运行时接口、身份验证提供商和可扩展集成点一起工作。然而K8s的集成方法可以在任何基础设施上运行任何容器化应用程序,这使得围绕K8s和其上的应用程序堆栈创建整体安全性面临挑战。根据RedHat的2022年K8s安全报告,在过去12个月的过程中,几乎所有参与研究的
1998年,ChristinePeterson创造了“开源软件”这个词。她解释道:“这是刻意为之,为了让其他人更容易理解这个领域”。同年,O’Reilly组织了首届“开源峰会”。开源软件受到更多人青睐原因在于,用户对软件拥有更多的控制权因为他们可以检查代码。对于长期项目来说,开源软件被认为是稳定的,因为这些项目遵循开放的标准,即便维护者停止工作,也不会凭空消失。活跃的开发者社区十分重要。比起闭源软
安全公司Mend在2022年前九个月发现并添加到其漏洞数据库中的开源漏洞数量比2021年增加了33%,这反映了已发布的开源软件包数量的增长。该报告从2022年1月到2022年9月对大约1,000家北美公司进行了代表性抽样,结果显示已知漏洞中只有13%得到了修复,而使用现代应用程序安全最佳实践的公司则修复了40%。随着开源的盛行,70%到90%的应用程序都会使用到开源代码,越来越多的公司发现自己容易
随着软件技术的发展,越来越多的企业已经开始意识到DevOps文化的重要价值。DevOps能够消除改变公司业务开展方式,并以更快的速度实现交付,同时创建迭代反馈循环以实现持续改进。而对于金融科技(FinTech)行业来说,拥有一套企业量身定制的DevOps流程变得至关重要。因为FinTech企业需要在应对不断变化的监管和安全场景的同时为客户提供创新价值,而拥有并实施以FinTech为中心的DevOp
阅读本文,带你了解如何在云端实现 DevSecOps。
软件供应链攻击在过去几年呈上升趋势,并且迅速成为最危险的安全威胁之一。本文将重点介绍了2022年到目前为止观察到的一些最值得注意的软件供应链攻击事件。 盘点2022五大软件供应链攻击Okta身份验证服务主要提供商Okta的网络遭到知名数据勒索组织Lapsus的攻击,该组织当时表示,他们的目标并不是从供应商那里窃取数据,而是通过利用对Okta的访问权来攻击其客户。Lapsus集团通过第三方
长期以来,安全问题一直被当作软件开发流程中的最后一步。开发者贡献可以实现软件特性的代码,但只在开发生命周期的测试和部署阶段考虑安全问题。随着盗版、恶意软件及网络犯罪事件飙升,开发流程需要做出改变。 开发过程中的“安全左移”是指将安全问题作为每个开发迭代和冲刺的重要组成部分。诸多组织正在系统地将安全实践纳入他们的DevOps流水线中,以最终形成DevSecOps。DevSecOps并不是单
在今年9月,Uber就发生过一起数据泄露事件,尽管黑客并无意发动大规模攻击或以此来获取巨额利益,但其成功获取对Uber所有敏感服务的完全管理员访问权限仍令人后怕。而在上周,名为“UberLeak”的用户又在黑客论坛上公开了一个600Mb的存档文件,其中包含来自Uber系统的2000万条数据记录。泄露的数据包括可能包含与Uber、UberEats和第三方供应商使用的选定移动管理平台(MDM)相关联的
在过去的几年中,企业一直忙于应对远程办公模式下的安全要求。展望2023年,疫情局面将与过去3年大不相同。根据目前的趋势,未来一年的网络攻击的数量和严重程度都将增加,这将对各规模企业,尤其是未做好准备的企业产生重大影响。本文将结合BlackBerry2022威胁报告的关键结果,谈谈CISO们在充满挑战的2023年应当关注哪些趋势以及做好哪些准备。 软件供应链攻击趋势递增如果CISO们回顾过
GitOps是一种自动化和管理基础架构和应用程序的模型,通过许多团队已经使用的相同DevOps最佳实践来形成的模型,例如版本控制、代码审查和CI/CD流水线。在实施DevOps时,我们找到了自动化软件开发生命周期的方法,但在基础设施设置和部署方面,仍然依靠手动过程。借助GitOps,团队可以自动化基础架构配置过程,同时能够编写IaC、在Git存储库中对代码进行版本控制,以及将持续部署原则应用于云交
就像人际关系中人与人之间的关系一样,软件生态系统中包含一个庞大的关系网络。其中一些联系非常深入,而有一些关系则更为表面。但实际上,现代基于开源的软件开发涉及一个极其庞大的依赖关系树,依赖关系层层叠加,同时涉及和包含已知或未知的风险。 EndorLabs最近的一份报告发现,95%的易受攻击的依赖项都是可传递的。这些传递性依赖项是深藏在软件供应链中的组件,使它们更难以评估和触及。这些易受攻击
业内权威机构Synopsys称,2022年软件质量问题可能使美国经济损失2.41万亿美元。根据报告调查结果显示,截至2022年,薄弱的软件质量造成的问题包括——因现有漏洞造成的网络攻击、涉及软件供应链相关的复杂安全问题,以及快速积累的技术债务日益增长的影响。 该报告强调了软件质量问题成本增长的几个关键领域,包括:由于越来越多的软件漏洞导致的网络犯罪造成了巨大损失。从2020年到2021年
随着软件供应链攻击的显著增加,以及Log4j漏洞带来的灾难性后果和影响,软件供应链面临的风险已经成为网络安全生态系统共同关注的最重要话题之一。根据业内权威机构Sonatype发布的2022软件供应链现状报告,在过去三年中,针对上游开源代码存储库的恶意活动,旨在将恶意软件植入软件组件的攻击数量增加了742%。 幸运的是大家逐渐开始意识到软件供应链攻击的巨大风险,这也促使各企业积极采取一系列
源代码是所有软件开发公司最宝贵的资产之一。因此,如果源代码被盗或泄露,可能会对企业的业务造成巨大损失。从长远来看,源代码盗窃可能会对企业的财务和声誉造成不可估量的损失。然而即便是行业领先的企业,也存在源代码被盗或泄露的风险。例如2004年微软Windows2000的源代码被盗,再比如2019年CapitalOne因数据泄露损失金额高达3亿美元!由此可见,保护企业的源代码以及其他敏感数据被盗应当成为
开源供应链安全对大多数IT领导者来说是个日益严峻的挑战,围绕确保开发人员在构建软件时如何使用和管理开源软件(OSS)依赖项的稳健策略至关重要。Microsoft发布安全供应链消费框架(S2C2F)是一个以消费为中心的框架,它使用基于威胁的风险降低方法来缓解开源软件(OSS)中的安全威胁。近日,S2C2F已经被OpenSSF采用。S2C2F与以供应商为中心和以工件为中心的框架相结合(例如SLSA),
通用漏洞评分系统(CVSS)是当前应用最频繁的评分系统以评估安全漏洞的严重性。但是,由于该系统在评估漏洞和优先级排序方面存在不足而遭受批评。因此,有部分专业人士呼吁使用漏洞利用预测评分系统(EPSS)或将CVSS与EPSS结合来推动漏洞指标变得更加可执行和高效。与CVSS一样,EPSS由国际网络安全应急论坛组织(FIRST)来管理。 EPSS是什么?EPSS以开放、数据导向为主要特点,旨
在Log4Shell高危漏洞事件披露几乎整整一年之后,新的数据显示,对全球大多数组织来说,补救工作是一个漫长、缓慢、痛苦的过程。 根据漏洞扫描领先者Tenable公司的遥测数据来看,截至今年10月,超过70%被扫描的企业仍然受到Log4shell漏洞(CVE202144228)的影响,这可能会导致企业持续面临数据泄露的风险。Tenable称,他们收集了超过5亿次测试的数据,发现有高达72
12月1日,软件供应链安全管理平台SEAL0.3正式发布(以下简称“SEAL”),这是国内首个以全链路视角保护软件供应链的安全管理平台。两个月前SEAL0.2发布,该版本创新性地提供了依赖项的全局汇总与关联,用户可以获得软件开发生命周期各个环节的可见性,进而以全局视角管理软件供应链。基于0.2版本的技术实践以及企业客户的反馈,在最新版本中,SEAL为软件开发生命周期(SDLC)的各阶段都提供了安全
在2019年,安全研究人员发现AtlassianJIRA中存在安全配置错误,这是一款全球超过100,000家组织和政府机构使用的项目管理软件。JIRA配置错误允许任何人通过简单的搜索查询访问敏感信息,包括企业员工姓名、电子邮件地址和有关内部机密项目的机密详细信息。安全配置错误已成为十分常见的问题,也导致成千上万的企业组织容易遭受严重的网络攻击和数据泄露。 那么什么是安全配置错误呢?企业应
企业安全文化从根本上说是基于良好的网络卫生(CyberHygiene)来建立和发展的,每个企业都必须根据自身实际情况来建立相应的网络卫生标准。企业可以实施许多基本的网络卫生控制措施,以此来降低网络攻击的可能性和影响。因此,网络卫生应该成为所有拥有数字处理环境的企业必备的常规程序,其实每个企业都需要定义网络卫生要求,不论企业的规模是大或是小。 在上一篇文章(https://blog.51c
随着时间的推移,很明显DevOps已经成为最高效的敏捷框架中的无人不知晓的名字。越来越多的企业(包括各类规模企业)正在采用DevOps方法来简化其运营效率。DevOps的新时代趋势已经见证了其使用率的持续上升。 由于需求的变化和现代软件的复杂性,如今的公司需要各种各样的平台和操作系统,因此DevOps更多的是将企业推向更高的高度并利用技术帮助企业实现商业目标和价值。DevOps中的最新技
企业安全文化从根本上说是基于良好的网络卫生(CyberHygiene)来建立和发展的,每个企业都必须根据自身实际情况来建立相应的网络卫生标准。企业可以实施许多基本的网络卫生控制措施,以此来降低网络攻击的可能性和影响。因此,网络卫生应该成为所有拥有数字处理环境的企业必备的常规程序,其实每个企业都需要定义网络卫生要求,不论企业的规模是大或是小。 然而,中小型企业往往在快速发展的过程中忽略或未
Uber数据泄露始于一名黑客从暗网市场购买属于一名Uber员工的被盗凭证。最初尝试使用这些凭据连接到Uber的网络失败,因为该帐户受MFA保护。为了克服这一安全障碍,黑客通过What'sApp联系了Uber员工,并假装是Uber的安全人员,要求该员工批准将MFA通知发送到他们的手机。然后,黑客向该员工的手机发送了大量MFA通知,为了免除骚扰,该Uber员工批准了MFA请求授予黑客网络访问权限,最终
API帮助跨多个设备互连多个应用程序或软件系统,定义它们可以发出的调用或请求的种类、调用的方式、应使用的数据格式以及应遵守的约定。API已经发展成为重要的互连,支持不同应用程序架构之间的通信,促进新服务的更快集成和部署。软件开发程序也依赖API来提供服务、平台管理和持续部署。涉及移动设备、云数据系统和微服务设计模式的现代应用程序架构需要使用多个API作为网关,以促进不同Web应用程序之间的互操作性
随着开发和交付的压力越来越大,许多企业选择依赖第三方来帮助运营和发展业务。值得重视的是,第三方软件及服务供应商和合作伙伴也是云环境攻击面的重要组成部分。尽管企业无法完全切断与第三方的关联,但可以在向他们提供进入单一云和多云环境的权限时强制执行最小特权原则。本文将带你了解如何缓解云端业务第三方风险对企业的影响以及缓解相应风险的技巧。 第三方对云环境的影响第三方,包括供应商、承包商、合作伙伴
业内权威机构Synopsys最近发布了一项研究报告,结果表明在进行4300次测试后,发现95%的应用程序中都至少都有一个影响安全的漏洞或配置错误,其中高危漏洞占20%,严重漏洞则占4.5%。在此次研究中,82%的测试目标是Web应用程序或系统,13%是移动应用程序,其余是源代码或网络系统/应用程序。参与测试的行业包括软件和互联网、金融服务、商业服务、制造业、消费者服务和医疗保健。阅读文本,将带你快
Kubernetes是当今许多公司采用的容器编排平台,它的实施需要对其生态系统有一定的了解,以便部署一个准备好用于生产的集群。然而从原则上来说,Kubernetes并不是一个安全的平台,因为它缺乏处理大多数与安全相关任务的本地工具。 因此,Kubernetes的实施工作原理或工具至关重要,这个过程也需要包括运维、开发、安全等团队的共同合作,从而能够在短时间内以最快的速度发现异常,并提高编
快速的数字化和越来越多的远程业务运营给开发人员带来了沉重的负担,他们不断面临着更快推出软件的压力。尽管CI/CD加速了产品发布,但它容易受到网络安全问题的影响,例如代码损坏、安全配置错误和机密管理不善。通过应用最佳实践来保护CI/CD流水线,可以确保代码质量、管理风险并保持完整性。鉴于CI/CD在管理软件生命周期中发挥的关键作用,因此保护CI/CD流水线应该是企业的首要任务。 CI/CD
在此前的多篇文章中,我们已经详细地介绍了软件物料清单(SBOM)对于保障软件供应链安全的重要性以及一些注意事项。在本文中,我们将会更深入地介绍SBOM,包括最低要求元素、格式、使用场景以及如何对其进行管理等。 SBOM所包含的元素2021年年中,NTIA发布了软件物料清单(SBOM)的最少必需元素。这些元素包含以下三类:数据字段:每个软件组件的基本信息自动化支持:能够自动生成机器可读格式
Copyright © 2005-2025 51CTO.COM 版权所有 京ICP证060544号
