本专区由 信息安全 团队提供资讯和技术支持,欢迎社区成员申请加入管理小组。
对于网络上的安全来说包括两个方面:一方面包括的是物理安全,指网络系统中各通信、计算机设备及相关设施等有形物品的保护,使他们不受到雨水淋湿等。另一方面还包括我们通常所说的逻辑安全。包含信息完整性、保密性以及可用性等等。
本专区由 信息安全 团队提供资讯和技术支持,欢迎社区成员申请加入管理小组。
一、为什么要做一款这样的小插件 数据,一直在思考如何让数据更安全的流转和服务于客户,围绕这样的想法,我们做过许多方面的扩展。我们落地了服务端的数据切片支持场景化的设计,实现了基于JDBC协议对SQL的拦截与切片,实现了在应用层的全链路数据库审计方案和实现,实现了WEB端明暗水印和文档水印等等,但这些都是在应用服务端的改造;那么围绕以上服务端的思想产生了在端上做一些事情,分析了集团内部服务,多以WEB服务端对客... 展开更多
开源软件在数据中心、消费者设备和应用程序中无处不在。使用开源代码已经成为软件开发的新常态,统计显示,一个软件平均有 90% 的代码源自开源,保证开源供应链安全已经远超出了一般开发者的能力。开源安全需要业界共同联手,为行业打造自动化工具、总结最佳实践、推动安全教育和鼓励开源安全协作。 5 月 28 日,GOTC 2023 “开源安全”专题论坛将于上海张江科学会堂举行。该论坛由 Linux 基金会亚太区副总裁杨轩担任出品人。在... 展开更多
全球开源技术峰会(Global Open-source Technology Conference) GOTC 2023 由开放原子开源基金会、 Linux 基金会亚太区、上海浦东软件园和开源中国联合发起, 将于 5 月 27 日至 28 日在上海张江科学会堂隆重举行。 这场面向全球开发者的盛大开源技术盛宴,堪称 2023 年开源风向标。大会将以行业展览、主题发言、专题论坛、开源市集的形式展现,与会者将一起探讨元宇宙、3D 与游戏、eBPF、Web3.0、区块链等热门技术主题,以及开... 展开更多
报名注册倒计时,错过等一年! 全球开源技术峰会(Global Open-source Technology Conference) GOTC 2023 由开放原子开源基金会、 上海浦东软件园、Linux 基金会亚太区和开源中国联合发起, 将于 5 月 27 日至 28 日在上海张江科学会堂隆重举行。 大会报名通道: https://www.bagevent.com/event/8387611 为期 2 天的开源行业盛会,将以行业展览、主题发言、论坛、圆桌、快闪演讲、开源市集等形式来诠释此次大会主题 ——“Ope... 展开更多
eBPF 的全称是 extended Berkeley Packet Filter,它被称之为“革命性”的内核技术,可以在 Linux 内核中运行沙盒程序,而无需更改内核源代码或加载内核模块。它提供了一种通用执行引擎,可以基于系统或程序事件高效安全地执行特定代码,就像在实时 (JIT) 编译器和验证引擎的帮助下进行本机编译一样。 如今,eBPF 被广泛用于各种场景:在现代数据中心和云原生环境中提供高性能网络和负载平衡,以低成本提取细粒度的安全可观测... 展开更多
作者:京东物流 陈维 一、引言 本文我们将以围绕系统安全质量提升为目标,讲述在功能安全测试&安全渗透测试上实践过程。 希望通过此篇文章,帮助大家更深入、透彻地了解安全测试。 二、安全渗透测试实践 安全前置扫描主要是识别白盒漏洞、黑盒漏洞问题,针对JSRC类问题,需要通过渗透测试进行漏洞发现。 1.安全测试类别 安全测试根据开展的阶段不同,测试对象不同,可以分为:功能安全测试、安全渗透测试。 以下是两者定义、两者... 展开更多
作者:京东物流 陈维 一、引言 G.J.Myers在《软件测试的艺术》中提出:从心理学角度来说,测试是一个为了寻找错误而运行程序的过程。 那么安全测试则是一个寻找系统潜在安全问题的过程,通过测试手段发现系统中可能存在的安全问题和风险,分析并进行优化,保障系统的安全质量。 从应用安全维度出发,展开系列安全测试工作,包括不限于:安全前置扫描、安全渗透测试、数据安全、SDL流程引入等。 本文我们将以围绕系统安全质量提升... 展开更多
作者:京东工业 宛煜昕 扫雷游戏相信很多人都从小玩过,在那个电脑游戏并不多的时代,扫雷成为玩的热度蛮高的一款游戏之一,然而就在有一次,接触到了一次不寻常的扫雷过程,使得后来我也有了这个冲动,也来做一次。通过动态调试,逆向和C来写一个扫雷辅助工具从而提高逆向与编码技能。 动态调试(分析) 首先进行扫雷程序的动态调试(分析): 打开OD(ollydebug工具),把扫雷拖放到OD中,F9运行;ctrl+G输入要跟随的表达式,... 展开更多
作者:京东云 刘一鑫 1 背景 随着网络攻击事件整体呈上升趋势,应用作为网络入口承载着大量业务和流量,因此成为了安全的重灾区。黑客往往借助自动化的工具以及安全漏洞,对Web进行漏洞扫描和探测,进而利用漏洞攻击,达到窃取Web应用的敏感数据或者入侵服务器的目的,这大大加剧了应用面临的安全风险。以前一段时间出现的log4j2漏洞为例、这是近十年来最严重的漏洞,由于使用广泛和漏洞利用简单,影响70%以上的企业线上业务系统... 展开更多
原文作者:Owen Garrett of F5 原文链接:如何在 NGINX 中安全地分发 SSL 私钥 转载来源:NGINX 官方网站 NGINX 唯一中文官方社区 ,尽在 nginx.org.cn 本文介绍了 SSL 加密网站使用 NGINX 时可采用的几种安全分发 SSL 私钥的方法。本文讨论了: 使用 NGINX 配置 SSL 的标准方法,以及潜在的安全限制 如何使用与 NGINX 配置分开存储的密码加密密钥 如何安全地分发加密密码,从而避免存储到磁盘上,并按需撤销磁盘存储 对于多数的... 展开更多
青藤云安全是一家主机安全独角兽公司,看名字就知道当前很大一块方向专注云原生应用安全,目前主营的是主机万相/容器蜂巢产品,行业领先,累计支持 800万 Agent。当前公司基于 NebulaGraph 结合图技术开发的下一代实时入侵检测系统已经初步投入市场,参与了 2022 护网行动,取得了不错的反响。 本文将简单介绍基于图的入侵检测系统,抛砖引玉,期望能有更多优秀人才参与挖掘图与安全的结合应用。 ## 入侵检测的现状与挑战 ### ... 展开更多
今天故事的主角还是大家熟识的二狗子。二狗子拿到了一笔项目奖金,在好好犒劳了自己一顿后,决定把剩下的钱在银行存个定期。 他用浏览器访问了 www.bank.com,输入了用户名和密码后,成功登录。 bank.com 返回了 cookie 用来标识二狗子这个用户。  不得不说,浏览器是个认真负责的工具,它会把这个 cookie 记录下来,以后二狗子每次向 bank... 展开更多
1998年,Christine Peterson创造了 “开源软件”这个词。她解释道:“这是刻意为之,为了让其他人更容易理解这个领域”。同年,O’Reilly组织了首届“开源峰会”。 开源软件受到更多人青睐原因在于,用户对软件拥有更多的控制权因为他们可以检查代码。对于长期项目来说,开源软件被认为是稳定的,因为这些项目遵循开放的标准,即便维护者停止工作,也不会凭空消失。活跃的开发者社区十分重要。 比起闭源软件,开源需要更多地考虑... 展开更多
背景: 一台服务器A用于发布代码用, 与其他服务器做了双机互信,便于scp部署包,ssh到目的服务器,执行部署脚本等 。服务器A由于端口暴露被入侵,导致双机互信的机器也受到了影响。现在对服务器A重装了系统, 如果不做双机互信的话, 有什么其他方案可以实现发布代码的需求同时安全风险最小?如 通过密码登录其他机器, 但是密码又不可见。
2022 年初,历经一年时间研发的智能终端操作系统 USmart 问世。一家厂商嗅到了商机,找上门来寻求合作,却遭到了拒绝。统信软件给出的理由是,系统还不够好用。 这家企业不过才成立三四年,怎么敢如此“傲慢”? “不自主一定不安全” 2019 年,统信软件技术有限公司(简称:统信软件)在北京注册成立。也正是在那一年,信创工程也正式走上了舞台,其核心是建立自主可控的信息技术底层架构和标准,在芯片、传感器、基础软件等领... 展开更多
作者:梁冬冬 风险系统复杂且又庞大,质量如何保障需要我们付出一点一滴的努力来浇灌系统之花 一、大促备战,求有序,求稳定: 大促是每年例行高考,把人和系统的各项能力激发,衡量系统健壮,容错性;凌晨3点的身影就像一束光,夺目耀眼;今年的大促与往年不同,倡导绿色,节能减排,降本增效,把各种资源做到利用最大化,产生更大的价值,让大促备战产生了一丝温度 1)压测备战时间表(统筹整体,从4.21-6.23我们把剧本编制到... 展开更多
作者:谢益培 1 背景 关键词:并发、丢失更新 预收款账户表上有个累计抵扣金额的字段,该字段的含义是统计商家预收款账户上累计用于抵扣结算成功的金额数。更新时机是,账单结算完成时,更新累计抵扣金额=累计抵扣金额+账单金额。 2 问题及现象 发现当账单结算完成时,偶尔会发生累计抵扣金额字段值更新不准确的现象。 比如,某商家账户上累计抵扣金额原本为0元,当发生两笔分别为10和8的账单结算完成后,理论上累计抵扣金额应该... 展开更多
# **一、风险洞察平台介绍** 以Clickhouse+Flink实时计算+智能算法为核心架构搭建的风险洞察平台, 建立了全面的、多层次的、立体的风险业务监控体系,已支撑欺诈风险、信用风险、企业风险、小微风险、洗钱风险、贷后催收等十余个风控核心场景的实时风险监测与风险预警,异常检测算法及时发现指标异常波动,基于根因策略快速做到风险归因分析并生成风险报告,接入MQ主题500+、数据模型6000+、实时预警4000+、 风险监控看板1000+... 展开更多
摘要 随着云计算和人工智能的兴起,如何安全有效地利用数据,对持有大量数字资产的企业来说至关重要。同态加密,是解决云计算和分布式机器学习中数据安全问题的关键技术,也是隐私计算中,横跨多方安全计算,联邦学习和可信执行环境多个技术分支的热门研究方向。 本文对经典同态加密算法Pailier算法及其相关技术进行介绍,重点分析了Paillier的实现原理和性能优化方案,同时对基于公钥的加密算法中的热门算法进行了横向对比。最... 展开更多
作者:vivo 互联网安全团队- PengQiankun 本文结合CASSM和EASM两个新兴的攻击面管理技术原理对资产管理,综合视图(可视化),风险评估,风险修复流程四个关键模块进行简述,为企业攻击面安全风险管理提供可落地的建设思路参考。 一、攻击面概述 攻击面是企业所有网络资产在未授权的情况下便能被访问和利用的所有可能入口的总和。 随着物联网、5G 、云计算等技术发展和社会数字化转型持续发展,当下的网络空间资产的范围和类型也... 展开更多