GitHub在本周的Satellite 2020活动中宣布了一些新功能和更新,涵盖了云、协作、安全性等。
作者:蛋酱;本文经机器之心(微信公众号:almosthuman2014)授权转载,禁止二次转载。
Raven是一款功能强大的CI/CD安全分析工具,该工具旨在帮助广大研究人员对GitHub Actions CI工作流执行大规模安全扫描,并将发现的数据解析并存储到Neo4j数据库中。
编程很难,难就难在常有 Bug 而不自知。有程序员调侃:「我不是在写代码,我是在写 Bug。」
Salus是一款功能强大的安全扫描协调工具,它可以帮助广大研究人员自动判断和选择需要使用哪一款安全扫描工具。我们可以通过Docker守护进程来对一个代码库运行Salus,而Salus则会自动判断适合运行哪一个扫描器,然后运行目标扫描器之后会将扫描结果输出给研究人员。Salus所支持的大部分扫描器都是成熟的开源项目,并且已经直接包含在了Salus项目之中。
近日,GitHub 推出了一项新的 AI 功能,能够有效提升编码时的漏洞修复速度。目前该功能已进入公开测试阶段,并在 GitHub 高级安全(GHAS)客户的所有私有软件源中自动启用。
Trivy 是一款简单且全面的容器和其他软件构件的漏洞扫描工具。由于其易用性和高效性,Trivy 在容器安全领域受到了广泛的关注和使用。
晓查 发自 凹非寺 量子位 | 公众号 QbitAI 今天,GitHub更新一项实验版新功能。 用上机器学习后,新版CodeQL代码扫描服务可以帮开发者发现更多安全漏洞。 目前在JavaScript和TypeScript存储库上开发测试,以后会逐步增加各种语言支持。 在测试期间,CodeQL已经从12,000个存储库中发现了超过20,000个安全问题,包括远程代码执行(RCE)、SQL 注入和跨站脚本(XSS)漏洞。 如何使用 GitHub的CodeQL代码扫描对于公共存储库是免费的。 目前,新的Java
在现代软件开发中, 我们会使用一些公共镜像作为基础镜像来快速构建我们的应用镜像,并将其部署到生产环境中。
就在 9 月的最后一天开始,你在 GitHub 上传的代码可以免费使用 Bug 筛查功能了。官方的目的是免费 帮开发者 Review 查找 Bug,程序员不用再被 P0 发愁了。这样我们就能早发现,早修复。
让我们从多分支管道基础知识开始。具体来说,在本节中,我将介绍什么是多分支管道,以及为什么对所有Jenkins CI / CD管道使用它必不可少。我还将向您展示多分支管道如何与详细的工作流图一起工作。
印象中,Gitlab作为Github的竞品,是一款“仓库管理系统”。但,士别三日,当刮目相看。
Github地址:https://github.com/xujiajun/nutsdb
NoseyParker是一款功能强大的命令行工具,该工具可以帮助广大研究人员在文本数据中寻找敏感信息,可以用于网络安全攻防两端的安全测试过程中。
thr0cyte,Gr33k,花花,MrTools,R1ght0us,7089bAt,
1.被动式注入检测工具GourdScan2.基于SQLMAP的主动和被动SQL注入的漏洞扫描工具Fox-scan3.免杀webshell无限生成工具webshell-venom4.获取存储在本地计算机上大量的密码LaZagne5.防火墙检测工具WAFW00F
在本博客中,我们探讨了为漏洞赏金猎人提供支持的顶级侦察工具。从Shodan的IoT设备洞察到Waymore的Web应用程序漏洞识别,该工具库中的每个工具在保护数字环境方面都发挥着至关重要的作用。加入我们的网络侦察之旅,这些工具是揭开安全系统秘密的关键。
Trivy是由aquasecurity开发的一个简单的漏洞扫描器,用于扫描容器和其他工件。它主要用于静态分析。适合与流水线的CI阶段集成。Aquasecurity以构建针对容器和管道安全的安全工具而广为人知。Trivy在也可以在github中使用。
漏洞及渗透练习平台 WebGoat漏洞练习平台: https://github.com/WebGoat/WebGoat webgoat-legacy漏洞练习平台: https://github.com/WebGoat/WebGoat-Legacy zvuldirll漏洞练习平台: https://github.com/710leo/ZVulDrill vulapps漏洞练习平台: https://github.com/Medicean/VulApps dvwa漏洞练习平台: https://gi
GitHub和类似平台已使软件的公开协作开发变得司空见惯。然而当此公共代码必须管理身份验证秘密(如API密钥或加密秘密)时会出现问题。这些秘密必须保护为私密,但是诸如将这些秘密添加到代码中的常见开发操作经常使意外泄露频繁发生。本文首次对GitHub上的秘密泄露进行了大规模和纵向的分析。使用两种互补的方法检查收集到的数十亿个文件:近六个月的实时公共GitHub提交的扫描和一个涵盖13%开放源码存储库的公共快照。
和其他科技公司一样,GitHub最近也把发布会改成了线上,但这并不妨碍GitHub发布重磅产品。
容器注册表是Docker容器镜像的集中存储和分发系统。它允许开发人员以这些镜像的形式轻松共享和部署应用程序。容器注册表在容器化应用程序的部署中发挥着关键作用,因为它们提供了一种快速、可靠和安全的方式,在各种生产环境中分发容器镜像。
从 B 站源码泄露开始到 GitHub 最终删除代码的两小时,大概是今年 B 站最煎熬的时刻,以至于他在向 Github 求助删除的 DMCA 邮件中,在 Please help us 后写下了三个醒目的感叹号。
本周的 GitHub 热点非常经常,因为一贫如洗的小鱼干突然发现了发家致富之道:磁盘挖矿。chia-blockchain 是一个将磁盘作为计算资源的项目,简而言之,用磁盘挖矿。当然本周的特推,pua-lang 也是非常有趣, 它用赋能、细分、反哺、组合拳、载体、抓手 等词汇作为语法关键字,让你通过这个语法了解阿里的这些晋升流行词到底是如何运作的。而 one-person-businesses-methodology 则打出了一套组合拳,教你良好地运营一个小型公司,以及如何权衡开发、营销。
碎遮SZhe_Scan Web漏洞扫描器,基于python flask框架,对输入的域名或ip进行自动化信息收集于漏洞扫描,支持poc进行漏洞检测。
GitLab发布了其同名平台的最新版本,该版本利用Kubernetes来自动化代码处理。在微软以75亿美元收购GitHub之后,在线Git存储库管理器受到了人们的关注。
GitHub 是开发人员工作流程中不可或缺的一部分。无论你去哪个企业或开发团队,GitHub 都以某种形式存在。它被超过8300万开发人员,400万个组织和托管超过2亿个存储库使用。GitHub 是世界上最大的源代码托管服务平台。
Pwndora是一款功能强大的网络安全扫描工具以及物联网搜索引擎,在该工具的帮助下,广大研究人员可以快速实现大规模的IPv4地址扫描,而且该工具还支持多线程任务。
众所周知,GitHub 是全球最大的代码托管平台,它在 2019 年报中提到平台已拥有超过 4000 万开发者,全年共创建了 4400 万个仓库。而在庞大的数字的背后,每天却发生着大量的安全泄露!我们需要实时监控 GitHub,防止出现重大安全事故。
另一个流行的CMS是Drupal,它也是开源的并且基于PHP,与之前的一样。 虽然没有那么广泛,但根据其官方网站
利用开源项目,快速实现Github代码监控,及时发现员工将公司代码托管到GitHub的行为并预警,能够降低代码泄露风险。
镜像安全扫描是确保云原生环境安全非常重要和基础的一个环节,通过镜像安全扫描可以检测容器镜像中的漏洞,避免攻击者植入恶意代码,快速响应漏洞,从而降低安全风险。
📷 作者:HelloGitHub-小鱼干 解放生产力一直都是我们共同追求的目标,能在摸鱼的空闲把💰赚了。而大部分好用的工具便能很好地解放我们的生产力,比如本周特推 RedisJSON 不用对 JSON 做哈希也能直接用 Redis 存储、读取 JSON 数据,省时省力。同样的,能节省生产力的 Turborepo 能免去多框架构建的繁琐,节省你的构建时间,还有 mold 链接器,性能蹭蹭地节省的都是你的时间。 以下内容摘录自微博@HelloGitHub 的 GitHub Trending 及 Hacker N
大多数安全措施都是为了防止漏洞逃跑而设计的, 在此之前,我们也分享了一些第三方安全扫描的文章(请移步到历史文章中查看),尽早识别应用程序的风险意味着您可以防止或限制它部署到您的系统中(安全左移策略)。有了这些知识或工具,容器中任何可能造成损坏的漏洞都可以安全地留在由您的安全策略围栏后面。
Talisman是一款功能强大的敏感数据检测工具,可以通过在目标代码库中设置钩子,来确保代码库中没有开发人员遗留的潜在凭证数据或敏感信息。
开放源代码的策略性应用之路,起始于一个精心策划、组织与授权的开源计划办公室,以指导和管理开源的创建、分发和使用。但这仅仅只是第一步。为了让开源计划办公室顺利运行,您需要正确的工具。这些关键的任务工具将用于追踪各部门的目标与指标,从工程部门和法律部门到行政领导部门、公关部门与营销部门,同时给予员工收集数据、提供开源软件运行快照和管理公司内部开源软件日常使用所需要的全部资源。
一、镜像仓库的类型 常见的镜像仓库有三种: 1.Container Registry Container Registry是一个应用程序,用于上传(推送)和下载(拉)容器图像。 从历史上看,注册管理机构规范完全由Docker定义,最近通过OCI分布规范独立完成。 目前版本的Openshift内部使用的是docker registry V2,作为bulid config成功以后的镜像存放位置。 2.Enterprise Registry Enterprise Registry,它提供了更多适用于企业环境的附加
EvilSelenium 是一种将 Selenium 武器化以攻击 Chrome 的工具。
CloudRecon是一款功能强大的Web应用程序资产扫描与识别工具,该工具可以帮助广大研究人员对目标Web应用程序执行扫描,并从证书中识别出有价值的资产数据。
rosedb 是一个稳定、高性能、快速、内嵌的 k-v 数据库,支持多种数据结构,包含 String、List、Hash、Set、Sorted Set,接口名称风格和 Redis 类似。
新时代,人们有人信新的追求,自然而然会有新发明的诞生。去年,在“一带一路”国际合作高峰论坛举行期间, 20 国青年投票选出中国的“新四大发明”:高铁、扫码支付、共享单车和网购。其中扫码支付指手机通过扫描二维码跳转到支付页面,再进行付款。这种新的支付方式,造就二维码满天飞的现象。那么让我们来扒一扒如何使用 Python 来生成二维码图片。
DivideAndScan是一款功能强大的自动化端口扫描工具,该工具可以对完整的端口扫描结果进行解析,并帮助研究人员将扫描结果用于Nmap的执行。
Quay 是一个registry,存储,构建和部署容器的镜像仓库。它分析您镜像中的安全漏洞,可帮助您减轻潜在的安全风险问题。此外,它提供地理复制和BitTorrent分发,以提高分布式开发站点之间的性能,并提高灾难恢复的弹性和冗余性。
该项目是一个 CVE PoC (Proof of Concept) 的开源项目,几乎包含了所有公开可用的 CVE PoC。其主要功能是收集和整理各种最新热门的漏洞利用代码,并提供相应链接。该项目具有以下核心优势和特点:
作者 | Matt Campbell 译者 | 明知山 策划 | 丁晓昀 谷歌发布 OSV-Scanner,一款开源漏洞(Open Source Vulnerability,OSV)数据库前端接口。OSV 数据库是一个分布式开源数据库,通过 OSV 格式存储漏洞信息。OSV-Scanner 会基于 OSV 数据库评估项目的依赖项,显示与项目相关的所有漏洞。 在扫描项目时,OSV-Scanner 首先通过分析清单、软件材料清单(SBOM)和代码提交哈希值来确定正在使用的所有依赖项。这些信息用于查询
LiveTargetsFinder 是一款功能强大的实时活动主机生成工具,该工具可以为广大研究人员以自动化的形式生成可供分析和测试的实时活动主机 URL 列表,并通过 MassDNS、Masscan 和 Nmap 自动过滤出无法访问的主机。
根据绿盟2018年3月的研究显示,目前Docker Hub上的镜像76%都存在漏洞,其研究人员拉取了Docker Hub上公开热门镜像中的前十页镜像,对其使用Docker镜像安全扫描工具Clair进行了CVE扫描统计。结果显示在一百多个镜像中,没有漏洞的只占到24%,包含高危漏洞的占到67%。很多我们经常使用的镜像都包含在其中,如:Httpd,Nginx,Mysql等等。
很少有数据存储库可以比GitHub更广泛地应用于代码开发生产,然而,正如老话所说的“速度越快,风险越大”。研究人员发现公共GitHub帐户具有极高泄露敏感信息的可能,数据丢失和持续泄露事件风险增加。通过适当的DevSecOps和使用GitHub事件API扫描器,组织可以大大降低泄露信息的风险。
领取专属 10元无门槛券
手把手带您无忧上云