腾讯云开发者社区-腾讯云

开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

安全乐观主义

专栏作者

48

文章

74084

阅读量

26

订阅数

应用安全的创新，Apiiro和WABBI

devops 安全网络安全 https

请大家不要仅仅关注hvv，想想未来的发展。在敏捷，尤其是在分布式、微服务和多云环境中开发应用程序和基础架构时,安全的工作模式也会发生变化。下一个十年是“互联网下半场“的角逐，相应的应用安全建设也需要从”大力出奇迹“到精细化运营。应用安全所在的大安全行业总是要欢迎变化的，或者不情愿地做出适应性改变，国内庞大区域市场之间不平衡不充分的发展虽然容许理念存在滞后性，但放眼未来没有什么比“改变与创新“更为重要。

安全乐观主义

2021-05-10

5570

ThreatSource：Google BeyondProd安全架构详解

https 微服务 tcp/ip

安全乐观主义点评：由cnbird鸟哥分享的一份介绍Google BeyondProd实现的ppt，笔者遗憾没有现场听到具体的内容，ppt下面的“安全乐观主义点评”字样为小编的发散思考，并不代表鸟哥大佬原始观点。安全乐观主义点评：ppt分为四个章节，介绍了云原生环境下的安全风险、Google的基础信任机制、BeyondProd实践以及实现技术细节。安全乐观主义点评：咦！攻守之势异也。攻防两端，当具备完成基础的技术能力之后，将由传统被动挨打转移到主动防御建设阶段。从防御的层层积累，到检测、溯源、审计手段的多

安全乐观主义

2020-12-02

1.4K0

从gRPC安全设计理解双向证书方案

SSL 证书 access rpc http https

网络安全领域在攻和防对抗规模群体已经成熟，但是两端从业者对于安全原理掌握程度参差不齐，中间鸿沟般的差距构成了漏洞研究领域的主战场。笔者“三省吾身”，在工作中会犯错误把一些加密、认证、鉴权的概念和实现方案搞混，尤其是加解密涉及算法和公私钥机制的概念不深入细节。

安全乐观主义

2020-11-09

2.4K0

Netflix的DevSecOps最佳实践

github git 开源 https 自动化

Netflix这家公司作为科技股新贵FAANGS里的当红辣子鸡，市值是5.33个百度，国内竟然鲜有文章谈论这家公司的安全机制，只有少量的报道说到了混沌工程，谈到了14年Netflix推出了Security Monkey，使之可以记录并标记一个帐号的修改，同时对配置进行审核，确保符合AWS云上的安全标准。

安全乐观主义

2020-07-20

1.7K0

Fastjson究竟犯了哪些错？

开源安全 https 网络安全数据分析

安全行业的支柱fastjson究竟犯了哪些错？没有cve编号著作权法规问题漏洞奖励的难处开源项目的生意经结语

安全乐观主义

2020-05-08

9750

浅谈屏幕拍摄泄密跟踪的检测技术

编程算法 https 网络安全神经网络

前言关注屏幕拍照安全检测技术介绍数字盲水印屏幕矢量水印摄像头检测屏摄检测缓解办法参考资料

安全乐观主义

2020-05-08

8.9K0

史上最全的zoom漏洞和修复方案介绍

安全漏洞安全网络安全 https

前言ZOOM麻烦不断全部漏洞一览屏幕共享功能中的漏洞漏洞详情修复方案与Facebook 共享数据漏洞详情修复方案参会者注意力跟踪漏洞详情修复方案参与者IP地址泄露漏洞详情修复方案误导性的安装提示漏洞详情修复方案LinkedIn销售导航仪功能漏洞详情修复方案内置的web服务器漏洞详情修复方案UNC安全问题漏洞详情修复方案zoom炸弹漏洞原理修复方案数据中心错误划分漏洞原理修复方案会议加密漏洞原理修复方案Zoom安全性问题可能是故意设计的功能zoom的改造计划zoom不适合群体参考资料

安全乐观主义

2020-04-14

2.3K0

超硬核！使用图数据技术发现软件漏洞

安全数据分析编程算法 java https

图数据库和图计算介绍痛点和机会基于图数据库的代码分析详细介绍show me the code分析命令执行漏洞优点直观展示漏洞的利用路径通用开源的搭建能力兼容现有的技术方案展望未来参考资料

安全乐观主义

2020-03-31

1.8K1

基于“BucketShock”漏洞的远程管理工具

对象存储 java 安全 https github

背景和启发难点和收益工具介绍被控端：服务端：Q&A工具的重要性项目github地址：背景和启发

安全乐观主义

2019-12-16

1.2K0

可信计算和可信赖计算的渊源

https 网络安全硬件开发安全

看到业界在谈论可信计算时，将任何微软做的事情都称为可信计算，其实这里面发展过程很复杂，历史的交叉结合翻译的错误颇有故事，微软做的一些事情和可信计算既有区别又有联系，这里有必要说明一下。按照我很尊敬的某位做可信计算的同事对此的评价："看那些乱七八糟，东拼西凑，自己造出的词语，会被误导的"。

安全乐观主义

2019-11-20

1.3K0

SDL安全设计工具，一款支持多人协作实施威胁建模的微信小程序

https 游戏 ide 小程序

Shingle,音[ˈʃɪŋɡl]，是世界上第一款（唯一？）用于安全威胁评估的微信小程序，方便团队开展STRIDE建模，支持项目向导、中英文以及多人协作。

安全乐观主义

2019-11-20

1.4K0

基于元数据提取的渗透测试案例

http 网站渗透测试 https 网络安全安全

背景MITRE ATT&CK™测试过程元数据提取citrix通道写poc提交漏洞参考资料

安全乐观主义

2019-11-20

1.2K0

软件安全构建成熟度模型 (BSIMM) 介绍

https 网络安全安全安全漏洞企业

负责应用安全某领域的负责人在某时某刻会遇到以下对话：场景一： CSO：今年干得如何？小王：不错不错，兄弟们加班加点发现了N多的漏洞，我有数据。 CSO：那这有什么用？小王：啊???... 场景二

安全乐观主义

2019-11-20

2.2K0

供应链安全系列-攻击编译阶段（一）

ide 打包 https java shell

让我们再次回顾下安全从业人员为了努力做好软件安全，在运营阶段做了什么事情。

安全乐观主义

2019-11-20

1.2K0

SOFA-Hessian反序列漏洞

安全编程算法 https 网络安全文件存储

笔者注意到https://github.com/alipay/sofa-hessian 提到了安全相关：

安全乐观主义

2019-11-20

9280

威胁建模系统教程-简介和工具（一）

ide https 安全网络安全

很多人对威胁建模这项活动抱有陌生感，什么是威胁？什么是建模？和安全威胁情报是不是有关？和架构安全分析（Architecture Risk Analysis）什么关系？能否用Kill Chain替代？

安全乐观主义

2019-11-20

3.5K0

代码审计工具Fortify 17.10及Mac平台license版本

https windows 安全漏洞网络安全安全

Fortify SCA是一个静态源代码安全测试工具。它通过内置的五大主要分析引擎对源代码进行静态的分析和检测，分析的过程中与其特有的软件安全漏洞规则集进行全面地匹配、查找，从而将源代码中存在的安全漏洞扫描出来，并整理生成完整的报告。扫描的结果中不但包括详细的安全漏洞的信息，还会有相关的安全知识的说明，并提供相应的修复建议。Fortify SCA支持超过25种开发语言，可检测770个独特的漏洞类别，并拥有超过970,000个组件级API。

安全乐观主义

2019-11-20

3.8K1

GitHub安全最佳实践

https 安全网络安全 github 开源

Github 类的代码平台是个研发和安全人员的大宝库，阿里云效平台的代码权限事件历历在目,密码泄露到公开代码平台的事件层出不穷，为企业内外部的各种源代码管理系统（gitlab\stash\github\gitee）做好合理配置是新生事物。开发各种 github 敏感信息监控工具均属于事后管理，做好安全配置和培养员工良好的习惯才是安全管理的重中之重。

安全乐观主义

2019-11-20

1K0

业界代码安全分析软件介绍

sas 安全 java 检测工具 https

静态AST（SAST）技术通常在编程和/或测试软件生命周期（SLC）阶段分析应用程序的源代码，字节代码或二进制代码以查找安全漏洞。

安全乐观主义

2019-11-19

2K0

没有更多了

社区活动

腾讯技术创作狂欢月

“码”上创作 21 天，分 10000 元奖品池！

Python精品学习库

代码在线跑，知识轻松学

博客搬家 | 分享价值百万资源包

自行/邀约他人一键搬运博客，速成社区影响力并领取好礼

技术创作特训营·精选知识专栏

往期视频·千货材料·成员作品最新动态