Google 内部红队的运营与成长经验
红队寻找漏洞是手段而非目的,需要正确定义团队目标,并在公司内适当宣传。
RedTeam
安全研究团队的价值
产品研发团队负责建设,安全研究团队负责赋能。
写在Google收购Wiz后:云安全的未来
本文分析了谷歌收购 Wiz 所带来的影响,特别是对云安全市场未来竞争格局的改变。
零信任的现状与未来:从成熟度模型看安全架构的持续演进
本文通过零信任架构的成熟度模型,剖析其当前实施进展、核心挑战及长期发展方向,揭示零信任并非终点而是持续进化的安全实践。
企业信息安全能力建设的飞轮框架与可扩展路径
通过系统化整合七大飞轮模型,将孤立的安全实践转化为具备内生增长动力的战略体系,实现安全投入与业务价值的可持续正向循环。
应用安全不仅仅是漏洞
应用安全不仅仅是漏洞,漏洞是驱动应用安全建设的有效抓手。
检测工程的前世今生:2025检测工程现状报告
80%企业投入资源在检测工程领域,67%获高层支持,但55%团队受困数据可及性不足,53%存在威胁建模技能缺口。45%启用AI异常检测,93%部署自动化流程,推动67%企业转向定制化行为分析检测,以应对高级威胁。
安全架构师常见面试题整理
基于多家头部互联网大厂安全架构师面试题的分析和整理,从技术实现、战略规划到组织协作三大维度,梳理安全架构师的核心能力要求及常见面试问题。
OpenAI 安全负责人深度解析:如何利用系统设计思维打造高效安全团队
OpenAI 安全负责人结合十年实战经验,提出通过系统设计将安全需求融入开发全流程,利用标准化工具与 LLM 提高工作效率,构建既能保障安全又支持业务高速扩展的工程化团队。
数据驱动的终端漏洞治理
Canva 通过整合多供应商工具、定义动态 SLA 框架及自动化更新流程,结合数据驱动的风险阈值管理与人工干预协同,实现规模化终端漏洞的高效修复,在保障安全性的同时最小化用户体验干扰。
CodeQL 企业级应用范式:GitHub 安全建设超大规模代码审计体系剖析
GitHub 通过 CodeQL 实现大规模安全防护,结合自定义查询包、自动化变种分析与提示性告警,构建高效漏洞检测体系,为开发者提供企业级代码安全实践范本。
Linkedin 如何利用大语言模型赋能安全态势平台(SPP)
Linkedin 通过构建 AI 驱动的安全态势平台(SPP),将知识图谱与生成式 AI 深度融合,实现漏洞响应效率提升 150%、资产覆盖率增长 155%,为超十亿用户构建智能防御新范式。
[已开源] 基于大语言模型的自动化漏洞修复技术实践
本文介绍了如何基于 Patchwork 框架与大语言模型,构建可定制化的自动化代码漏洞修复工具,覆盖静态扫描、漏洞验证、智能补丁生成与代码兼容性检测的完整技术闭环。
[开源 Prompt] AI 增强的漏洞优先级排序
Databricks 利用 LLM 针对第三方组件漏洞进行优先级排序,准确率达到了约85%,安全团队的人工分析的工作量减少了超过95%。
甲方安全何时需要自研安全产品?安全平台工程团队的价值与落地策略
安全平台工程团队通过构建默认安全的工具链与协作机制,将安全能力无缝融入企业安全建设核心流程中,在降低员工认知负担的同时,规模化解决商业安全产品无法解决的独特安全风险。
AI安全助手杀疯了!误报率直降40%!
96%安全专家认可的AI安全神器!Semgrep Assistant让代码误报率直降40%。 Semgrep推出AI安全助手功能,通过智能降噪和自动分析记忆功能,帮助开发者减少40%重复性安全告警处理工作。
DeepSeek本地化部署有风险!快来看看你中招了吗?
Meta 是如何做数据安全的:PAI 隐私意识基础设施
Meta 通过隐私意识基础设施(PAI)中的政策区域(Policy Zones)技术,实现了大规模数据流的目的限制,确保用户数据仅用于明确允许的用途,从而有效保护用户隐私。
Golang 供应链攻击新手法:利用模块缓存实现恶意代码持久化
2024年CVE漏洞数量激增38%:2024年CVE漏洞数据全景分析
2024 年发布了 40009 个 CVE,比 2023 年(28818)增长 38%,开源项目与 WordPress 插件成漏洞重灾区。
攻击者视角驱动的应用安全建设实践
(wechat feed made by @ttttmr https://wechat2rss.xlab.app)