云图说丨初识华为云微服务引擎CSE
摘要:微服务引擎(Cloud Service Engine,CSE),是用于微服务应用的云中间件,为用户提供注册发现、服务治理、配置管理等高性能和高韧性的企业级云服务能力 本文分享自华为云社区《【云图说】 第250期 初识华为云微服务引擎CSE》,作者: 阅识风云。 微服务引擎(Cloud Service Engine,CSE),是用于微服务应用的云中间件,为用户提供注册发现、服务治理、配置管理等高性能和高韧性的企业级云服务能力;CSE可无缝兼容Spring Cloud、ServiceComb
OpenSSF 安全计划:SBOM 将驱动软件供应链安全
在软件成分分析(SCA)一文中,我们简单提到软件物料清单(SBOM)在安全实践中的价值。本期文章将带你深入了解 “SBOM 无处不在”计划是什么,以及 SBOM 对未来软件供应链安全和开源生态系统的重要性。 开源软件安全基金会(OpenSSF)发布了一项动员计划,以提高开源软件(OSS)的适应性和安全性。现代软件供应链之所以广泛使用 OSS,是因为它提供了更快的创新和更高质量的产品,但由于 OSS 组件固有的漏洞,其广泛采用会伴随一定风险。 该计划的一个重要部分是使用软件物料清单(SBOM)作
8款最佳实践,保护你的 IaC 安全!
基础设施即代码(IaC) 是一种快速发展的技术,利用软件开发原则和实践,用软件配置基础设施。与传统的 IT 基础架构相比,IaC 可以更高效地交付软件。自动化还解锁了弹性配置的能力,该功能可在不同的负载下有效地分配资源。 尽管 IaC 有很多优势,但配置不当的 IaC 也会在整个系统中迅速传播错误配置。IaC 的自动化配置能够提高效率,也可以放大错误,而这些错误通常会对安全产生不利影响。坚持 IaC 最佳实践是降低成功供应链网络攻击和漏洞风险的有效方法,考虑以下8个 IaC 最佳实践,为企业安
如何将 DevSecOps 引入企业?
前 言 现如今,大部分企业已经在内部实现了 DevOps 实践。DevOps 为团队提供了交付可靠软件和快速更新的方法论。这种方法让团队更专注于质量而不是将时间浪费在运维上。然而,结果是,安全实践往往被留在交付流水线末端的安全专家手中。然后,由于意外往往出现在交付阶段的最后,所以使得特定的安全方法在交付过程中产生了不必要的支出。因此,团队没有足够的时间修复代码,并反复开始相同的流程,最终导致交付成本高且效率低。 随着大多数公司开始进行数字化转型,DevSecOps 已经变得越来越重要。随着这些
注意!软件供应链安全挑战持续升级
软件供应链安全处于起步阶段 软件公司 ActiveState 做了一项关于开源软件供应链安全的调研,其中包括开源组件的安全性,以及关键软件开发流程的安全性和完整性。结果表明,软件供应链安全仍处于起步阶段。 保护软件供应链安全包括漏洞补救以及在整个软件开发过程中实施控制措施。关键开发流程包括: 导入 – 将第三方工具、库、代码片段、包和其他软件资源引入组织的过程是否安全? 构建 – 组织从源代码组装和构建开源工件的过程是否安全? 运行 – 组织在开发、测试和生产环境中处理、测试和运行构建工件的过
SLSA 框架与软件供应链安全防护
随着软件供应链攻击浪潮愈演愈烈,Google 发布了一系列指南来确保软件包的完整性,旨在防止影响软件供应链的未经授权的代码修改。新的 Google SLSA 框架(Supply-chain Levels for Software Artifacts 软件构件的供应链级别)通过识别 CI/CD 流水线中的问题并减小影响,为企业实现更安全的软件开发和部署流程提供建议。 Google 的 SLSA 框架 SLSA 是一个端到端框架,旨在确保软件开发和部署过程的安全性,专注于缓解由于篡改源代码、构建平
想低成本保障软件安全?5大安全任务值得考虑
应用程序的快速交付并非安全的敌人,尽管现在看起来似乎如此。随着企业持续采用云服务和基础设施,安全却逐渐被抛之脑后,这是不可取的——尤其是现在持续集成/持续交付流水线已成为攻击者的主要目标。 在应用程序上线后仅仅扫描其安全漏洞是远远不够的。安全的左移方法应该在DevOps团队开始开发应用和配置基础设施的时候就启动,这样就可以在漏洞影响范围更广和修复成本更昂贵之前解决它们。这就是 DevSecOps 的核心原则。 通过安全左移,企业可以在用户受到影响之前识别错误配置和其他安全风险。云计算在实现 D
渗透测试(PenTest)基础指南
什么是渗透测试? 渗透测试(Penetration Test,简称为 PenTest),是指通过尝试利用漏洞攻击来评估IT基础设施的安全性。这些漏洞可能存在于操作系统、服务和应用程序的缺陷、不当配置或有风险的用户行为中。这种评估也有助于验证防御机制的有效性以及最终用户是否遵守安全政策。 渗透测试通常使用手动或自动技术来系统地破坏服务器、端点、网络应用、无线网络、网络设备、移动设备和其他潜在的暴露点。一旦某个系统的漏洞被成功利用,测试人员会尝试利用被破坏的系统继续攻击其他内部资源,特别是,会通过
心余力绌:企业面临的软件供应链安全困境
在 SolarWinds 和 CodeCov 等攻击之后,软件供应链安全和防止软件篡改(未经授权的恶意软件修改)已成为安全团队的首要任务。随着软件开发团队面临比以往更快地交付的压力,软件团队正在利用开源和第三方软件来应对大量的交付和服务。与此同时,“安全左移”成为软件工程师的必备实践。 软件供应链的延长,大大增加了网络犯罪分子可利用的攻击面。如今,软件发行商不仅担心是否能按时交付功能,还要担心他们的软件可能会在下一次 SolarWinds 式攻击中成为目标。 那么问题来了,软件公司对供应链威胁
5个开源组件管理小技巧
开源正在吞噬软件世界,SourceClear 在2020年发布的调查报告指出开源项目已呈现指数级增长趋势,2026 年预计超过 3 亿。开源软件(OSS)的出现简化了软件开发流程,这正是超过90%的组织在其应用程序中使用开源组件的原因之一。这也意味着企业代码库中拥有的代码正在从闭源自研转向开源。 开源的优势在哪里? 开源已经改变了软件行业。这种增长趋势背后的原因很明显:使用开源组件避免了“重复造轮子”,可以加快应用程序开发速度,使开发人员更加高效和富有成效。 此外,开源组件为开发人员提供了一种
21条最佳实践,全面保障 GitHub 使用安全
GitHub 是开发人员工作流程中不可或缺的一部分。无论你去哪个企业或开发团队,GitHub 都以某种形式存在。它被超过8300万开发人员,400万个组织和托管超过2亿个存储库使用。GitHub 是世界上最大的源代码托管服务平台。 GitHub 的使用便利与强大支持巩固了其在市场中的主导地位。GitHub 用户群体包罗万象,从业余小白到专业人士,从个人用户到大型企业组织,都在使用 GitHub。 使用 GitHub 就无需考虑安全吗? GitHub 提供了许多工具和存储库设置防止数据泄露。但产
8个方法管理 GitHub 用户权限
如同世界正在经历的疫情,由于网络攻击的大幅增加,许多公司也遭受着“网络疫情”,保障代码安全迫在眉睫。在之前的文章中我们了解了安全使用 GitHub 的21条最佳实践。阅读本文,将带您了解在代码发布到 GitHub 之前如何管理用户权限。 1. 了解您的 GitHub 账户类型 GitHub 有三个帐户类型,其访问控制量不等。 个人帐户:此帐户仅允许一个所有者添加项目协作者。 组织帐户:此帐户类型根据团队结构控制访问权限。它允许跨多个团队成员进行更详细的访问。 企业帐户:此帐户类型包括可跨多个组
Plus版SBOM:流水线物料清单PBOM
相信大家对软件物料清单(SBOM)并不陌生,它是指用于构建软件解决方案的所有软件组件(开源或商业)的列表。但在软件物料清单中,并不包括用于部署软件的微服务和其他组件。为了更全面了解所用的组件,我们需要创建流水线物料清单 PBOM(Pipeline Bill of Materials),其中包含用于将应用程序从代码到交付的所有软件组件和服务。 为什么 PBOM 很有必要? 软件安全不仅取决于源代码,还取决于整 个软件交付流水线的集成。此类集成包括构建工具、镜像仓库和 IaC (Infrastru
Gartner 权威预测未来4年网络安全的8大发展趋势
翻译:SEAL安全 原文标题: Gartner Unveils the Top Eight Cybersecurity Predictions for 2022-23 原文链接: https://www.gartner.com/en/newsroom/press-releases/2022-06-21-gartner-unveils-the-top-eight-cybersecurity-predictio 根据 Gartner 公布的网络安全趋势预测,随着企业对信息安全的重视提高,高管的业绩
企业需要知道的5个 IAM 最佳实践
在之前的文章中,我们了解了在代码发布到 GitHub 之前如何管理用户权限。但你知道吗?人为错误竟然是迄今为止数据泄露的主要原因!根据统计,高达95%的数据泄露是由配置错误和不良网络环境引起的。黑客通常不会通过暴力破解弱系统或发现软件漏洞来进入系统,而是通过敏感信息和漏洞来获得绝大多数访问权限。 那么如何防止这种情况发生?身份和访问管理(Identity and Access Management, IAM)能如何帮助企业避免缓解此类风险呢? 身份和访问管理不当的代价 身份和访问管理(IAM)
8大软件供应链攻击事件概述
在软件开发中所面临的新型威胁已经不仅仅与特定的公司相关,整个软件供应链的上下游都已成为攻击者的目标,因此必须保证每个环节的安全性,因为如果一个环节出现问题,一切都会受到影响。 供应链活动包括将原材料、部件和资源转化为完整产品并交付给最终客户的每一步。每个步骤本身都可能是一个复杂的过程,并且有可能导致安全事故。 什么是软件供应链攻击? 我们在之前的文章中已经清楚地了解到什么是软件供应链。那么我们现在继续深入,将重点放在源代码上。 举个例子,你的源代码将存储在私有的Git仓库中,这可能是你的基础设
zorm 1.5.8 发布,完善对 TDengine 和 hptx 的支持
Go 轻量级 ORM, 零依赖,零侵入分布式事务,支持达梦 (dm), 金仓 (kingbase), 神通 (shentong), 南大通用 (gbase),TDengine,mysql,postgresql,oracle,mssql,sqlite,clickhouse 数据库. 源码地址:https://gitee.com/chunanyong/zorm 官网: https://zorm.cn 测试用例 zorm-examples 基于原生 sql 语句编写,是 springrain 的精简
2021年数据泄露成本报告解读
根据 ForgeRock 的研究显示,2022年美国数据泄露的平均成本预计为950万美元,而2021年全球平均成本差不多是这个数字的一半。根据 IBM 和 Ponemon Institute 2021年的报告,全球平均数据泄露成本约为424万美元,比2019年的386万美元增长了10%,创下历史新高。 随着勒索攻击的数量激增,到2021年底全球网络犯罪的成本达到6万亿美元/年的峰值。 Ponemon Institute 和 IBM Security 的报告将数百个成本因素纳入研究统计,包括法律
太香了! 阿里 Redis 速成笔记, 从头到尾全是精华!
Redis涉及的知识点是非常繁多的,虽然这份笔记已经扩充了不少Redis进阶和压箱底的内容,但还是无法顾及到Redis的方方面面,LZ只能说真的不要小看一个Redis!可!httpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttps。......
阿里巴巴 2022 最新 Java 架构师进阶宝典!助力程序员金九银十面试跳槽涨薪
这五份手册分别是:阿里巴巴 Java 开发手册(终极版)、阿里巴巴 Java 性能调优实战(2022 华山版)、阿里巴巴机器学习算法大集结、阿里巴巴面试参考指南(2022 黄金泰山版)、淘宝商城亿级并发架构设计思想(2022 版)!......
今日推荐
周排行