如何应对开源组件⻛险?软件成分安全分析(SCA)能力的建设与演进 (tech.meituan.com)

【简介】

随着 DevSecOps 概念的推广,以及云原生安全概念的快速普及,研发安全和操作环境安全现在已经变成了近几年非常热的词汇。目前,在系统研发的过程中,开源组件引入的比例越来越高,所以在开源软件治理层面安全部门需要投入更多的精力。但由于早期技术债的问题,很多企业内部在整个研发流程中对使用了哪些开源组件、这些开源组件可能存在哪些严重的安全隐患等相关的问题,几乎是没有任何能力去进行收敛,多年前的 SCA(Software Composition Analysis 软件成分分析)技术又重出江湖,变成该领域⻛险治理的一个“神器”。本文主要探讨如何利用 SCA 技术实现对开源组件⻛险治理相关能力的建设与落地,希望给大家以启发或者帮助。

点击查看全文 >>

@技术头条 2022-08-31 23:14分享 / 0个评论
赞过的人: @IT技术博客大学习
要不要再学学下面的文章?
解密 Linux 和 ESXi 勒索软件家族 (paper.seebug.org)
在本文中,我们重点介绍了几个最近在其运营开始后不久就发布Linux/ESXi payload的勒索软件家族。了解这些payload的能力是评估未来风险并使安全团队能够相应做好防御准备的重要一步。
by @技术头条 2023-09-10 23:25 分享 查看详情
MySQL自治平台建设的内核原理及实践(下) (tech.meituan.com)
本文整理自主题分享《美团数据库自治服务平台建设》,系超大规模数据库集群保稳系列的第四篇文章。本文作者在演讲后根据同学们的反馈,补充了很多技术细节,跟演讲(视频)相比,内容更加丰富。文章分成上、下两篇,上篇将介绍数据库的异常发现跟诊断方面的内容,下篇将介绍内核可观测性建设、全量SQL、异常处理以及索引优化建议与SQL治理方面的内容。希望能够对大家有所帮助或启发。
by @技术头条 2023-08-26 21:54 分享 查看详情
MySQL自治平台建设的内核原理及实践(上) (tech.meituan.com)
本文整理自主题分享《美团数据库自治服务平台建设》,系超大规模数据库集群保稳系列的第四篇文章。本文作者在演讲后根据同学们的反馈,补充了很多技术细节,跟演讲(视频)相比,内容更加丰富。文章分成上、下两篇,上篇将介绍数据库的异常发现跟诊断方面的内容,下篇将介绍内核可观测性建设、全量SQL、异常处理以及索引优化建议与SQL治理方面的内容。希望能够对大家有所帮助或启发。
by @技术头条 2023-08-26 21:54 分享 查看详情
勒索软件 LOLKEK 样本和演变策略分析 (paper.seebug.org)
本文将带您探索最近的LOLKEK有效载荷,重点介绍关键特性、策略更改以及对IOC指标的观察。我们还将强调一个持续存在的OPSEC错误,该错误不断泄露勒索软件运营商的游戏。

同时本文将对LOLKEK的发展史进行详细描述,从它对较低的赎金到偶发的金融攻击的展示LOLKEK可以让我们对勒索软件有更广泛的了解。

by @技术头条 2023-08-26 21:50 分享 查看详情
浅议 .NET 应用 Dump 文件生成及其故障分析 (blog.yuanpei.me)
如果把程序员解决问题的过程比作福尔摩斯探案,除了关心 “5W” 这种基本要素以外,程序员更希望别人能提供丰富的线索。毕竟,神探夏洛克每次破案不总是靠着那 1% 的灵感,他更多的是靠着梳理记忆宫殿里的那些蛛丝马迹。对程序员而言,这种线索可以是日志或者是 Dump 文件。
by @技术头条 2023-07-30 21:38 分享 查看详情
CMDB平台建设指南 (wiki.eryajf.net)
本文写就于2022年,是本人在CMDB领域的钻研探索实践之后的一些经验分享,全文约计1.7w字,凝聚了我全部的心血,从平台架构的设计,到项目周期的管理,甚至项目完成之后的推广,都有所涉猎,如果你也在折腾CMDB,那么本文是你不可错过的入门必读之作。
by @技术头条 2023-07-23 12:31 分享 查看详情
密码管理和2FA管理软件 (ttzz.eu.org)
现在网络上各种网站服务非常多,每个人至少都有注册过几十上百个网站,账号密码的管理显得尤为重要,很多人为了便于记忆,多种账号采用相同的密码,这种做法非常不安全,因为一旦有一个平台的密码泄露,就很容易被撞库攻击。
by @技术头条 2023-07-04 23:22 分享 查看详情
iptables 及 docker 容器网络分析 (thiscute.world)
本文先介绍 iptables 的基本概念及常用命令,然后分析 docker/podman 是如何利用 iptables 和 Linux 虚拟网络接口实现的单机容器网络。
by @技术头条 2023-07-04 23:16 分享 查看详情
一次「找回」TraceId的问题分析与过程思考 (tech.meituan.com)
用好中间件是每一个开发人员的基本功,一个专业的开发人员,追求的不仅是中间件的日常使用,还要探究这背后的设计初衷和底层逻辑,进而保证我们的系统运行更加稳定,让开发工作更加高效。结合这一主题,本文从一次线上告警问题出发,通过第一时间定位问题的根本原因,进而引出Google Dapper与MTrace(美团内部自研)这类分布式链路追踪系统的设计思想和实现途径,再回到问题本质深入@Async的源码分析底层的异步逻辑和实现特点,并给出MTrace跨线程传递失效的原因和解决方案,最后梳理目前主流的分布式跟踪系统的现状,并结合开发人员日常使用中间件的场景提出一些思考和总结。
by @技术头条 2023-07-02 23:39 分享 查看详情
HikariCP 源码分析 -- ConcurrentBag (www.diguage.com)
以前无意间搜资料了解到 HikariCP,一下子就被它的简洁代码和卓越性能吸引住了。以前也有翻过它的代码,但是不是很系统,最近再次翻阅,正好做些笔记,方便以后学习。

最近在学习 Java 并发知识。那就从 HikariCP 自定义的并发集合 ConcurrentBag 开始学习。
by @技术头条 2023-06-24 23:05 分享 查看详情
使用微博登录,分享你的文章到本站