腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
首页
学习
活动
专区
工具
TVP
最新优惠活动
返回腾讯云官网
从运维安全到DevSecOps
专栏作者
举报
20
文章
25014
阅读量
15
订阅数
订阅专栏
申请加入专栏
全部文章(20)
安全(12)
网络安全(8)
运维(6)
容器镜像服务(5)
容器(5)
数据库(3)
安全漏洞(3)
sql(2)
腾讯云测试服务(2)
数据安全(2)
http(2)
开源(2)
shell(2)
ddos(2)
安全培训(2)
漏洞扫描服务(2)
云镜(主机安全)(1)
云数据库 SQL Server(1)
nosql(1)
ide(1)
git(1)
github(1)
linux(1)
nginx(1)
thinkphp(1)
数据加密服务(1)
网站(1)
DevOps 解决方案(1)
devops(1)
游戏(1)
自动化(1)
ssh(1)
grep(1)
cdn(1)
tcp/ip(1)
udp(1)
jenkins(1)
uml(1)
数据处理(1)
物联网(1)
https(1)
sas(1)
搜索文章
搜索
搜索
关闭
ThinkPHP安全开发规范
sql
数据库
网络安全
安全
thinkphp
目前ThinkPHP在国内中小型开发场景非常流行,但由于漏洞频发,主要集中在SQL注入、信息泄露(debug模式打开)、越权等漏洞,使得业务安全性受到不小的挑战。另外由于ThinkPHP版本比较多,实际业务多用3.2.3或5.1,因此下面主要从这两个版本来介绍ThinkPHP开发过程中常见的安全问题。
0xtuhao
2022-06-21
1.7K
0
轻量级开源SAST工具semgrep分析1/2
grep
开源
sas
网络安全
安全
整个中文网络关于semgrep的信息非常之少,竟然只找到一篇内容还过得去的文章:介绍semgrep扫描xss漏洞,而且读起来还像是翻译的。这般待遇实在是与semgrep的强大和在国外的流行完全匹配不上,再加上近期团队做安全编码规范的配套扫描工具建设,从而催生了本文。
0xtuhao
2022-06-21
1.1K
0
浅谈外包安全开发管控
安全
漏洞扫描服务
运维
云镜(主机安全)
前阵子有篇文章叫《史上最坑爹外包!花费2亿耗时2年,网站至今未交付》的热文在IT圈刷了屏,讲的是世界顶级咨询公司埃森哲为美国汽车租赁公司赫兹开发新网站和移动应用程序的外包项目烂尾了,后者无奈之下诉诸公堂,从而让这个惊天大瓜暴露在世人面前,我们注意到,该项目代码存在影响面极广的严重安全漏洞,也让其难以投入使用。
0xtuhao
2022-06-21
932
0
五步成功完成威胁建模
安全
网络安全
物联网
ide
uml
翻译自five-steps-to-successful-threat-modelling,Suresh Marisetty,January 10, 2019
0xtuhao
2022-06-21
1.2K
0
完美安全代码审计的5个最佳实践
自动化
安全
安全漏洞
网络安全
腾讯云测试服务
翻译自5 Best Practices for the Perfect Secure Code Review,其中对人工审计和自动化代码审计的优劣势分析比较清晰,同时提出的几个最佳实践个人觉得还是很有道理,符合我们的实践经验。
0xtuhao
2022-06-21
593
0
DevSecOps:S-SDLC企业最佳实践
安全
安全漏洞
网络安全
企业要实施S-SDLC,单靠传统的信息安全部门或几个网络安全人员是不行的,必须由公司领导层自上而下去推行。之所以必须是自上而下推行,一个重要的原因就是S-SDLC的实施并不是只有信息安全部门投入就可以了。S-SDLC会与研发部门的各个环境深度结合,需要研发部门的积极支持和全体参与。另外,安全对于大部分企业而言,能直接看到的是成本投入增加,而产出收益却是隐性的,并不会因为做了S-SDLC就能看到产品的直接销售收益。
0xtuhao
2022-06-21
863
0
DevSecOps:应当做好的十件事
devops
安全
安全漏洞
安全培训
网络安全
本文介绍的便是《DevSecOps:初入江湖》中提到的《Gartner 2017调研报告》原文。
0xtuhao
2022-06-21
352
0
DevSecOps:初入江湖
安全
运维
数据加密服务
腾讯云测试服务
DevSecOps是2017年美国RSA大会新出现的一个概念,大会甚至专门为这个概念和方向设置的议题和讨论会。DecSecOps是一种全新的安全理念与模式,即“每个人都对安全负责”,从DecOps的概念延伸和演变而来,其核心理念安全是整个IT团队(包括开发、运维及安全团队)每个人的责任,需要贯穿从开发和运营整个业务生命周期每一个环节才能提供有效保障,通过加强内部安全测试,主动搜寻安全漏洞,及时修复漏洞、控制风险,实现与业务流程的良好整合。来自Garnter研究公司的分析师David认为,当今的 CIO 应该修改 DevOps 的定义,使之包括安全理念变成为 DevSecOps。DevSecOps是糅合了开发、安全及运营理念以创建解决方案的全新方法”。
0xtuhao
2022-06-21
400
0
服务器安全审计系统设计与实现
https
开源
运维
github
git
就像一套系统需要有端口监控、服务监控一样的道理,我们需要在服务器上派驻自己的“哨兵”,实时了解服务器安全风险状态。它不同于其他的运维监控agent,而是“专岗专用”,专门做安全监控,在性能消耗、功能、实现方式上都会有传统的运维监控agent不同。那么,安全审计能给我们带来什么?为什么“非它不可”?
0xtuhao
2022-06-21
964
0
Docker安全入门与实战(四)
容器
容器镜像服务
众所周知,Docker使用namespace进行环境隔离、使用cgroup进行资源限制。但是在实际应用中,还是有很多企业或者组织没有使用namespace或者cgroup对容器加以限制,从而埋下安全隐患。本文定位于简单介绍namespace和cgroup的基本原理之后,通过具体配置和应用向读者展示如何应用这些技术保护docker容器安全,不过namespace和cgroup并不是万能的,他们只是保障Docker容器安全的多种方案中的一类而已。
0xtuhao
2022-06-21
269
0
Docker安全入门与实战(三)
shell
容器
容器镜像服务
nginx
入侵检测和漏洞扫描可谓是主动发现安全问题的“内功外功”,在容器技术应用越来越广泛的今天,也需要被给予同样的重视。本文将探讨Docker入侵检测工具Sysdig Falco的基础知识以及如何检测容器的异常行为等问题。 Sysdig Falco是一种旨在检测异常活动开源的系统行为监控程序。作为Linux主机入侵检测系统,对待Docker依旧特别有用,因为它支持容器上下文,如container.id,container.image或其规则的命名空间。
0xtuhao
2022-06-21
661
0
Docker安全入门与实战(二)
容器镜像服务
漏洞扫描服务
容器
jenkins
在上一篇文章《从自身漏洞与架构缺陷,谈Docker安全建设》中,介绍Docker存在的安全问题、整套Docker应用架构的安全基线以及安全规则,重头戏是Docker安全规则的各种思路和方案。本文作为“续集”,考虑到镜像安全问题的普遍性和重要性,将重点围绕Docker镜像安全扫描与审计的具体实现展开讨论,包括技术选型、功能使用以及如何与企业Docker容器编排系统、仓库集成等具体问题,最后还提供了一个现成的开源集成方案。
0xtuhao
2022-06-21
841
0
运维安全,没那么简单
运维
数据安全
安全培训
随着IT技术和业务的发展,以及各式各样安全漏洞的涌现,运维与安全这两个专业日渐交融,人们对运维安全的重视程度越来越高,出现了一个新的交叉领域叫“运维安全”。黑客、白帽子忙于挖掘运维安全漏洞,企业忙于构建运维安全体系,一时间无数漏洞纷至沓来,座座堡垒拔地而起。作者立足自身多年运维安全实践,也来探讨一二。本文按照提出问题到回应答案的思路,先抛出作者对运维安全的理解,并解释了重视运维安全的原因。接着根据在运维安全一线发现的工作陋习以及企业面临的常见问题,整理出通用运维安全问题分类。之后对症下药,提出一个好的运维安全形态:不仅在于工程师们的安全意识,更在于一套相对完整的运维安全体系,从流程到技术,点线面多位一体共同缔造。
0xtuhao
2022-06-21
1.8K
0
Docker安全入门与实战(一)
容器镜像服务
容器
安全
linux
与其他介绍Docker的文章不同,由本文开启的系列文章将专注于Docker安全研究,一共分为6部分。
0xtuhao
2022-06-21
813
0
容器静态安全漏洞扫描工具Clair介绍
安全
容器镜像服务
容器
数据库
根据绿盟2018年3月的研究显示,目前Docker Hub上的镜像76%都存在漏洞,其研究人员拉取了Docker Hub上公开热门镜像中的前十页镜像,对其使用Docker镜像安全扫描工具Clair进行了CVE扫描统计。结果显示在一百多个镜像中,没有漏洞的只占到24%,包含高危漏洞的占到67%。很多我们经常使用的镜像都包含在其中,如:Httpd,Nginx,Mysql等等。
0xtuhao
2022-06-21
2.4K
0
服务器被入侵了怎么办
运维
安全
shell
ssh
下面我们看一个标准的服务器安全应急影响应该怎么做,也算是笔者从事安全事件应急近5年以来的一些经验之谈,借此抛砖引玉,希望大神们不吝赐教。
0xtuhao
2022-06-21
2.8K
0
永不落幕的数据库注入攻防
数据库
nosql
sql
http
云数据库 SQL Server
我记得之前有人说过,对于一家软件公司来说,最重要的不是它的办公楼,也不是它的股票,而是代码。代码这东西,说到底就是一堆数据。这话不假,但是不仅仅这样。对于一家企业来说,它的用户数据也是最重要的几个之一。在座各位想必多为DBA或者数据分析相关岗位的同学,对数据于企业的重要性,应该理解很深刻了。那么,换一个角度,站在用户角度,数据对他而言,更是要害。从以前的“艳照门”、“电信诈骗”,到现在的“50亿条公民信息泄露”,数据泄漏每天都在发生着。所以,不管是谁,站在企业还是用户角度,保护数据安全是重中之重。今天的主题,“数据库注入攻防”就属于数据安全这个领域的问题了。
0xtuhao
2022-06-21
799
0
DDoS攻击与防御:从原理到实践
ddos
udp
cdn
tcp/ip
http
出于打击报复、敲诈勒索、政治需要等各种原因,加上攻击成本越来越低、效果特别明显等特点,DDoS攻击已经演变成全球性网络安全威胁。
0xtuhao
2022-06-21
1.4K
0
中国企业海外业务DDoS防护探索
DevOps 解决方案
ddos
网络安全
安全
游戏
近些年国内市场,尤其是互联网行业,竞争非常激烈,也越来越饱和,于是很多产品纷纷出海。他们的发行方式多种多样,服务部署方式相应的有所不同:有自己部署在aws/gcp/azure等公有云上的,也有部署在海外IDC服务器的,这两种方式面对的安全威胁也多种多样,但有一点是共同的,那就是DDoS攻击。因此,当下研究中国企业海外业务DDoS防护解决方案,显得十分必要。
0xtuhao
2022-06-21
4.5K
0
当GDPR来敲门
数据处理
数据安全
网站
网络安全
距离欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)正式生效的日子不远了。据称,该条例将在2018年5月25日正式生效。在法律行业针对该条例的讨论如火如荼,但安全圈却少有发声,另外,法律行业提供的意见也过于理论,不太具有操作性。本文试图从安全从业者的角度解读GDPR,同时为中国互联网企业出海合理应对GDPR提供一些可操作的措施。另外,“GDPR中国版”--《个人信息安全规范》也于2018年5月1日正式生效,本文将会分析该规范与GDPR的异同,以及面对这两个版本的“GDPR”,中国互联网企业如何将其安全合规需求与企业安全建设结合在一起。
0xtuhao
2022-06-21
667
0
点击加载更多
社区活动
腾讯技术创作狂欢月
“码”上创作 21 天,分 10000 元奖品池!
立即发文
Python精品学习库
代码在线跑,知识轻松学
立即查看
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
立即体验
技术创作特训营·精选知识专栏
往期视频·千货材料·成员作品 最新动态
立即查看
领券
问题归档
专栏文章
快讯文章归档
关键词归档
开发者手册归档
开发者手册 Section 归档