如何应对开源组件⻛险?软件成分安全分析(SCA)能力的建设与演进 (tech.meituan.com)

【简介】

随着 DevSecOps 概念的推广,以及云原生安全概念的快速普及,研发安全和操作环境安全现在已经变成了近几年非常热的词汇。目前,在系统研发的过程中,开源组件引入的比例越来越高,所以在开源软件治理层面安全部门需要投入更多的精力。但由于早期技术债的问题,很多企业内部在整个研发流程中对使用了哪些开源组件、这些开源组件可能存在哪些严重的安全隐患等相关的问题,几乎是没有任何能力去进行收敛,多年前的 SCA(Software Composition Analysis 软件成分分析)技术又重出江湖,变成该领域⻛险治理的一个“神器”。本文主要探讨如何利用 SCA 技术实现对开源组件⻛险治理相关能力的建设与落地,希望给大家以启发或者帮助。

点击查看全文 >>

@技术头条 2022-08-31 23:14分享 / 0个评论
赞过的人: IT技术博客大学习
要不要再学学下面的文章?
TLS指纹分析研究(上) (blog.nsfocus.net)
TLS协议已经成为互联网上最流行的协议,以确保网络通信免受干扰和窃听。TLS被用于加载Firefox浏览器中超过70%的网页,随着越来越多的网站、服务和应用程序切换到TLS,其应用将继续增长。

由于网络管理人员可以识别和阻止自定义协议,很多恶意工具已经转向使用现有协议,TLS的流行为这些恶意工具提供了一个很好的选择,使用TLS协议的恶意工具可以将其流量隐藏在大量web浏览器和其他TLS的合法覆盖流量中以逃避检测。

本文分享一篇指纹数据分析的论文,通过收集和分析9个月内超过110亿个真实的TLS连接流量,从白流量的角度给出一些结论,希望给研究人员带来一些思考。
by @技术头条 2022-09-13 23:33 分享 查看详情
智能搜索模型预估框架Augur的建设与实践 (tech.meituan.com)
本文将与大家探讨美团搜索与NLP部使用的统一在线预估框架Augur的设计思路、效果、优势与不足,希望对大家有所帮助或者启发。
by @技术头条 2022-09-12 22:41 分享 查看详情
配送A/B评估体系建设实践 (tech.meituan.com)
本文重点阐述了美团配送技术团队在A/B评估体系构建过程中的一些思考和具体的实践,包括如何建立完备的指标体系、如何建立科学权威的评估方式等等。希望能够给大家一些启发和帮助。
by @技术头条 2022-08-31 23:16 分享 查看详情
美团图数据库平台建设及业务实践 (tech.meituan.com)
美团有比较多的图数据存储及多跳查询需求,亟需一种组件来对千亿量级图数据进行管理。海量图数据的高效存储和查询是图数据库研究的核心课题,如何在大规模分布式场景中进行工程落地是我们面临的痛点问题。下面介绍美团在图数据库选型及平台建设方面的一些工作。
by @技术头条 2022-08-31 23:16 分享 查看详情
Systrace 响应速度实战 2 :响应速度实战分析-以启动速度为例 (androidperformance.com)
本文是响应速度系列的第二篇,主要是以 Android App 冷启动为例,讲解如何使用 Systrace 来分析 App 冷启动 。
by @技术头条 2022-08-31 23:12 分享 查看详情
软件泥潭真体验 (insights.thoughtworks.cn)
改造遗留系统并非易事,如果该系统没有良好的架构和编码,那么在这基础上做功能升级改造,往往比做全新系统更加费时费力。
by @Thoughtworks 2022-08-23 17:07 分享 查看详情
Systrace 流畅性实战 3 :卡顿分析过程中的一些疑问 (androidperformance.com)
Systrace (Perfetto) 工具的基本使用如果还不是很熟悉,那么需要优先去补一下上面列出的 Systrace 基础知识系列,本文假设你已经熟悉 Systrace(Perfetto)的使用了
by @技术头条 2022-08-19 00:10 分享 查看详情
Systrace 流畅性实战 2 :案例分析 - MIUI 桌面滑动卡顿分析 (androidperformance.com)
Systrace 作为分析卡顿问题的第一手工具,给开发者提供了一个从手机全局角度去看问题的方式,通过 Systrace 工具进行分析,我们可以大致确定卡顿问题的原因:是系统导致的还是应用自身的问题

当然 Systrace 作为一个工具,再进行深入的分析的时候就会有点力不从心,需要配合 TraceView + 源码来进一步定位和解决问题,最后再使用 Systrace 进行验证

所以本文更多地是讲如何发现和分析卡顿问题,至于如何解决,就需要后续自己寻找合适的解决方案了,比如对比竞品的 Systrace 表现、优化代码逻辑、优化系统调度、优化布局等
by @技术头条 2022-08-19 00:09 分享 查看详情
商用密码应用安全建设市场研究与思考 (www.sec-un.org)
众所周知,密码作为网络安全的核心技术和基础支撑,是构建网络信任体系的重要基石。文章简要介绍了等保建设发展、商密管理发展,重点阐述了密评工作必要性、密评建设关键点,并从用户需求、政策标准、监督监管、供应供给等四个方面对密评建设市场不同阶段进行了评估预测。
by @技术头条 2022-08-18 23:38 分享 查看详情
软件成分安全分析(SCA)能力的建设与演进 (www.sec-un.org)
随着 DevSecOps 概念的逐渐推广和云原生安全概念的快速普及,研发安全和操作环境安全现在已经变成了近两年行业非常热的词汇。在研发安全和应急响应的日常工作中,每天都会收到大量的安全风险信息,由于目前在系统研发的过程中,开源组件引入的比例越来越高,所以在开源软件治理层面需要投入很多精力。但是由于早期技术债的问题,很多企业内部在整个研发流程中对使用了哪些开源组件,这些开源组件可能存在严重的安全隐患等相关的问题几乎是没有任何能力去收敛,所以多年前的 SCA(Software Composition Analysis 软件成分分析)技术又重出江湖,变成了这一部分风险治理的神器。本文主要探讨的范围是利用 SCA 技术实现对开源组件风险治理相关能力的建设与落地。
by @技术头条 2022-08-18 23:37 分享 查看详情