Seal软件

摘要： 软件包含大量且范围广泛的组件、部分和相互依赖关系。需要有效缓解与使用软件相关的安全风险；需要遵守与组件相关的许可证。通过第三方代码（包括开源软件 (OSS)）了解产品中所有项目的出处至关重要，无论这些元素源自企业的团队还是团队之外。确保安全的最佳方法是维护软件中所有组件的当前“成分列表”列表——软件 阅读全文

摘要： 当涉及处理机密信息（如密码、令牌、密钥文件等）等，以下问题值得考虑： 安全性十分重要，但高安全性往往伴随着高度的不便。 在团队中，共享某些密钥有时无法避免（因此现在我们需要考虑在多人之间分发和更新密钥的安全方法）。 具体的密钥通常取决于环境。 目前市面上已经存在许多较为成熟的密钥管理产品，比如 Ha 阅读全文

摘要： 往往一些成功的软件公司在构建解决方案的时候十分注重其可重复性、可审计性、和简便性，而基础设施即代码（IaC）的出现让开发人员能够将这些时间应用于基础设施的分配。目前的存储 IaC 的实践有以下三种： IaC 与应用程序和功能代码一起存储 IaC 单独存储在特定于应用程序的存储库中 企业中所有应用程序 阅读全文

摘要： Seal 软件供应链防火墙 v0.2 已于近日发布。这款产品旨在为企业提供代码安全、构建安全、依赖项安全及运行环境安全等4大防护，通过全链路扫描、问题关联及风险组织的方式保护企业软件供应链安全，降低企业安全漏洞修复成本。 通过 Seal 软件供应链防火墙，用户可以获得软件开发生命周期各个环节的可见性 阅读全文

摘要： 随着企业对软件开发的安全意识提高，开发和运维环节中各个团队也开始将安全嵌入他们正在使用或处理的平台或应用程序架构中。不同于各团队把对安全的关注放在自己所处理的环节，首席信息安全官（CISO）需要把握和负责从基础架构团队到应用程序团队等企业内部的所有安全问题。 阅读本文，将带您了解 CISO 需要考虑 阅读全文

摘要： Scorecard 是 OpenSSF 旗下的开源项目，用于评估开源软件风险，本文由该项目的主要贡献者 Naveen 撰写。 现代软件是建立在数百个甚至数千个第三方开源组件之上的，这些通常被称为依赖项。它们可以帮助开发团队快速迭代并保持生产力。 由于生产力的提升，大部分企业正在快速采用开源软件（OS 阅读全文

摘要： 在之前的文章中，我们分别讨论了漏洞修复和 CVSS 评分系统。而这两部分都是漏洞管理中涉及的关键要素。在今天的文章中，我们将一起系统地了解漏洞管理的概念及过程。 首先来看安全漏洞的概念。安全漏洞是指允许攻击者破坏产品及其持有的信息的技术弱点。为了跟上添加到网络中的新系统、对系统进行的更改以及随着时间 阅读全文

摘要： 通用漏洞评分系统 (CVSS) 是一个公共框架 ，用于评估软件中安全漏洞的严重性。这是一个中立的评分系统，让所有企业能够使用相同的评分框架对各种软件产品（从操作系统、数据库再到 Web 应用程序）的 IT 漏洞进行评分。 为什么企业要采用 CVSS 在没有 CVSS 以前，软件供应商使用自己的方法对 阅读全文

摘要： 许多 SAST 工具都无法避免误报的问题。这些工具经常报告一些实际不存在的漏洞，这种不准确性让安全团队耗费大量时间来对误报进行分类和处理，这时设置误报基准就显得十分必要。 通过设置误报基准，安全团队可以确定一个参考的点或者标准来衡量安全工具的有效性。 为什么要对误报进行基准测试 执行应用程序安全测试 阅读全文

摘要： 什么是漏洞修复？ 首先我们来定义漏洞修复这个概念。开发人员和安全团队为了防止外部恶意攻击，使用一些方法来识别、优先考虑、修复和监控漏洞，这个过程就是漏洞修复了。 在检测方面，企业可以使用各种应用程序安全测试 (Application Security Testing, AST) 工具来识别软件应用程 阅读全文