Aggregator

这部分内容易与代码安全扫描工具混淆，因为有部分指标如覆盖率、检出率等是重合的，还可能出现指标的指向不明等问题。故将从不同群体视角，对主要指标进行阐述： 1、对安全人员的指标  1）开发语言覆盖率：SDL团队需要考虑检测能力应覆盖公司所有的开发语言，通过对工具选型、异构方案设计等方式实现；  2）检测规则覆盖率：安全工具检测规则覆盖开发安全规范内容，或内部常见漏洞类型的情况，也是通过工具选型、SAST规则运营等方式实现；  3）检出漏洞修复率：已知漏洞的修复率与研发安全团队紧密相关，只有风险被消除才能称之为闭环、安全工作才有价值，故研发安全团队具有监督、组织业务修复等责任，可通过内部红黑榜、专题汇报等方式推进。  2、对开发人员的指标  1）检出漏洞修复率：该指标也应该纳入开发团队，作为软件质量的一个度量因素管理。开发团队需要认为自己对编写的软件安全质量负责，即使会遇到交付压力大、习惯、技能等困难，也应在安全人员的辅助下完成漏洞修复。无论是安全或开发人员，部分指标和研发安全的目标应保持一致。只有各自承担起自己的职责，才能交付安全的软件。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SDL与DevSecOps有何异同？ 如何在不同企业实施SDL？ SAST误报太高，如何解决？ SDL需要哪些人参与？ 在devops中做开发安全，会遇到哪些问题？ 如何实施安全需求？ 安全需求，有哪些来源？ 安全需求怎么实现自动化？ 实施安全需求，会遇到哪些难题？ 安全需求和安全设计有何异同及关联？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ 编码阶段，开展哪些安全活动？ 如何选择静态代码扫描(SAST)工具？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 如何制定一份有用的开发安全规范？ 如何做到开发安全规范的有效实施？ SDL 25/100问：应该如何选型代码安全扫描工具？ 2、SDL最初实践系列 开篇 安全需求 安全设计 安全开发 安全测试 安全审核 安全响应

近日，奇安信集团旗下奇安盘古获得了上海市闵行区经济委员会颁发的区企业技术中心认证奖牌及证书。

以java-sec-code为例子，对CodeQL提供的官方规则进行修改优化

We spoke to Michel Mayor about the importance of public engagement with science and how to foster responsibility among the youth for the preservation of our changing planet

今天是世界读书日，我享受阅读带来的乐趣。以认真笔记、看了再看为必要条件，列了一个不是书单的《书单》，向过去一年启蒙我的师友们表示尊重和感谢。

Moving to cloud-based architectures from traditional physical telecommunication systems is complicated and complex. Communications service providers (CSPs) are evolving on the 5G journey from traditional mobile network infrastructures to meet next-generation cloud-centric network requirements for reliability, agility...

By modifying a refrigerator commonly used in both research and industry, researchers at the National Institute of Standards and Technology (NIST) have drastically reduced the time and energy required to cool materials to within a few degrees above

命は美しい

Voor de veiligheid van Nederland heeft de AIVD in 2023 niet alleen veel maar vaak ook urgente dreigingen moeten onderzoeken. Het grimmige beeld dat de AIVD vorig jaar schetste is in veel opzichten slechter geworden. Dat stelt de AIVD in het jaarverslag 2023.

APT-C-28组织了一次精心策划的网络攻击，该组织利用伪装成“朝鲜人权专家辩论”的恶意LNK文件，作为向目标传递RokRat恶意软件的手段

Windows event logs can provide valuable insights when piecing together an incident or suspicious activity, making them crucial for analysts to understand.

Dr. Israelian talks about Starmus's vision and mission, the importance of inspiring and engaging audiences, and a sense of community within the Starmus universe

【内含福利】第二期「度安讲」百度安全技术沙龙议题征集！

Avast discovered and analyzed GuptiMiner, a malware campaign hijacking an eScan antivirus update mechanism to distribute backdoors and coinminers.

The post GuptiMiner: Hijacking Antivirus Updates for Distributing Backdoors and Casual Mining appeared first on Avast Threat Labs.

欢迎广大安全技术专家、白帽技术人员、网安学子们持续关注「先知」灯塔系列安全沙龙，期待下次与你见面～