【公益译文】了解、预防、修复:开源漏洞讨论框架 (blog.nsfocus.net)

【简介】

开源软件的安全性引起了业界关注,这并不奇怪。在实施相关安全方案时,需要对过程中的挑战与合作达成共识。这个问题很复杂,涉及方方面面:供应链、依赖关系管理、身份和构建管道。问题捋清后,解决方案也就呼之欲出。为方便业界讨论开源软件中的漏洞以及首要着眼点,我们提出了一个框架(“了解、预防、修复”),内容包括:

• 元数据和身份标准共识:行业需要就解决这些复杂问题的基本原则达成共识。在元数据细节和身份方面统一看法后,将推动自动化,减少更新软件所需的工作量,并将漏洞的影响降至最低。

• 提高关键软件的透明度,加强对这些软件的审查:对于对安全至关重要的软件,我们需要就开发过程达成一致,确保充分审查,过程透明,避免单方面更改,最终产生语义清晰的可验证官方版本。

点击查看原文 >>

@技术头条 2022-12-24 23:34 / 原作者微博:@绿盟科技 / 0个评论
赞过的人: @IT技术博客大学习
要不要再学学下面的文章?
学习了解数据仓库中的分层概念 (ixyzero.com)
本文详细介绍了数据仓库的分层概念,包括数据运营层(ODS)、数据仓库层(DW)和数据应用层(APP)。其中,DW层进一步细分为数据明细层(DWD)、数据中间层(DWM)和数据服务层(DWS)。文章阐述了各层的功能和作用,并通过实例说明如何在实际业务中应用这些分层概念。该内容适合数据工程师、数据分析师、数据架构师以及对数据仓库设计和实现感兴趣的技术人员阅读。
by @技术头条 2025-01-12 12:08 查看详情
探索 AI 驱动的网络安全框架:深度学习技术、GPU 支持和未来增强 (paper.seebug.org)
这篇文章详细分析了现代网络攻击中的 DGA(域名生成算法)技术,涵盖了其工作原理、分类及在恶意软件中的应用实例。通过技术解析和实际案例,展示了如何检测和防御 DGA 带来的安全威胁。内容适合网络安全研究人员、安全工程师以及对恶意软件分析感兴趣的技术爱好者,提供了系统化的学习参考。
by @技术头条 2025-01-03 00:07 查看详情
第一性原理思考:解决问题的通用框架(续) (blog.devtang.com)
本文深入探讨了几种思维框架,包括28原理、谬误推导和终局思维等,帮助在决策中聚焦关键因素,判断信息真伪。文章还列举了常见误区,如误把相关性当因果、从众心理和情绪化决策等,提醒在信息泛滥中保持清晰的逻辑思维。通过案例分析,这些思维模式能有效提升问题解决和决策的效率。
by @技术头条 2024-11-02 16:25 查看详情
第一性原理思考:解决问题的通用框架 (blog.devtang.com)
本文介绍了解决问题的通用框架,基于“第一性原理”思考,分为信息收集、建模、判断和策略迭代四步。通过广泛收集经验与原始数据,建立问题模型,量化核心指标并不断优化策略,可以逐步解决复杂问题。框架虽无法保证执行到位,但帮助接近真实问题,为复杂决策提供可靠支持。
by @技术头条 2024-11-02 16:20 查看详情
了解和应对分布式拒绝服务攻击 (blog.nsfocus.net)
分布式拒绝服务(DDoS)攻击是当今网络安全的重大威胁,如何有效应对是每个组织必须面对的挑战。本文详细介绍了DDoS攻击的类型、预防措施和应对策略,帮助你更好地保护系统免受攻击。想了解如何在面对DDoS时从容应对?不要错过这篇实用指南!
by @技术头条 2024-09-08 23:31 查看详情
带你认识本地大模型框架Ollama(可直接上手) (wiki.eryajf.net)
自 OpenAI 公司于2022 年 11 月 30 日发布 ChatGPT 以来,经过 23 年一整年的发展之后,大模型的概念已逐渐普及,各种基于大模型的周边产品,以及集成层出不穷,可以说已经玩出花来了。在这个过程中,也有不少本地化的模型应用方案冒了出来,针对一些企业知识库问答的场景中,模型本地化是第一优先考虑的问题,因此如何在本地把模型调教的更加智能,就是一个非常重要的技能了。在 23 年的时候,我也接触过一些本地模型的开源项目(比如 LocalAI),当时在本地部署跑起来之后,发现交互的体验,回答的速度,以及智能程度,都远低于预期。最近又一次了解本地模型的玩法,从微信群里了解到了 ollama,经过几天业余时间的研究及了解,发现现在模型本地化的玩法,以及能力都早已不可同日而语,本文,将记录我这几天来对于 ollama 的粗浅认识以及快速入门玩起来。
by @技术头条 2024-03-12 22:53 查看详情
Java SPI机制学习与常用框架SPI案例 (l1n.wang)
SPI(Service ProviderInterface)是JDK内置的服务提供机制,常用于框架的动态扩展,类似于可拔插机制。提供方将接口实现类配置在classpath下的指定位置,调用方读取并加载。当提供方发生变化时,接口的实现也会改变。Java生态中JDK、Dubbo、Spring等都通过SPI提供了动态扩展的能力。
by @技术头条 2024-01-17 23:19 查看详情
被忽视的暗面:客户端应用漏洞挖掘之旅 (gh0st.cn)
客户端应用漏洞是许多人在进行漏洞挖掘和安全测试时容易忽视的领域。随着技术的更迭和攻防手段的升级,客户端应用漏洞也逐渐出现在大众视野中(APT攻击、攻防赛事等等),在本次议题中,我们将重点关注PC侧的客户端应用程序,如即时通讯、远程服务、视频软件等应用,探索其中存在的漏洞和潜在的安全风险。
by @技术头条 2024-01-17 23:06 查看详情
完善 Golang Gin 框架的静态中间件:Gin-Static (soulteary.com)
Gin 是 Golang 生态中目前最受用户欢迎和关注的 Web 框架,但是生态中的 Static 中间件使用起来却一直很不顺手。所以,我顺手改了它,然后把这个改良版开源了。
by @技术头条 2024-01-14 19:19 查看详情
升级到 Pulsar3.0 后深入了解 JWT 鉴权 (crossoverjie.top)
最近在测试将 Pulsar 2.11.2 升级到 3.0.1的过程中碰到一个鉴权问题,正好借着这个问题充分了解下 Pulsar 的鉴权机制是如何运转的。

Pulsar 支持 Namespace/Topic 级别的鉴权,在生产环境中往往会使用 topic 级别的鉴权,从而防止消息泄露或者其他因为权限管控不严格而导致的问题。
by @技术头条 2023-11-29 23:45 查看详情
使用微博登录,分享你的文章到本站