Aggregator

坐过国际航班都知道全程十几个小时，飞机上的wifi又特别贵，动则几百块。只有头等舱和公务舱才能免费使用。但没网阅读更多

Their innocuous looks and endearing names mask their true power. These gadgets are designed to help identify and prevent security woes, but what if they fall into the wrong hands?

经常会在公众号或者其他平台看到一些比较水的文章，有的文章已经被删掉了，还有几个没删的，发出来看大家能看

【学术讲座】重构变色龙哈希函数：完全安全和多方设置

使用eBPF技术实现的软件，总会分不清CO-RE（一次编译，到处运行），在选择CORE、非CORE版本而烦恼吗？这下你不用纠结了，eCapture 0.8.0起，会自动选择CORE版本。不论内核是否支持CORE，eCapture都可以兼容。

墨菲安全结合过去服务和交流过的300多家企业的经验教训，同时联合国内十多家已经在开源软件安全治理方面初见成效的企业，整理出来这个最佳实践，希望能够帮助更多的企业高效的开展开源软件供应链安全治理工作，尽量少踩坑。

您有一份周报待查收......

Neo4j作为一款强大的图形数据库，其采用图形建模，采用Node、Relationship、Property的形式存储数据，可以处理复杂的现实场景。

开发人员的安全意识和能力，决定着代码原本的安全质量。提升安全能力变得很有必要，通常做法包括安全责任、安全教育及漏洞复盘： 1、建立安全责任：在公司或团队中营造安全文化氛围，明确开发人员在安全方面的责任和义务，让他们明白自己在安全工作中的角色和重要性；建立安全责任追究机制，对违反安全规定或造成安全漏洞的行为进行追责与处罚。 2、开发安全教育：定期组织开发安全培训，提供实际案例让开发人员了解安全漏洞是如何被利用，让开发人员了解最新的安全威胁、漏洞类型和攻击方式；其中，非常有效的一招是“解决不了问题，就解决写漏洞的开发人员”的思路，在一定周期内统计写漏洞数量top的开发人员，然后组织培训和考试。 3、外部漏洞复盘：在自助型SDL中，SAST、SCA、IAST都需要业务方自行去判断扫描结果，从历史复盘经验来看，有的开发会缺少责任心或专业技能，导致漏洞被漏判从而漏出到外部。此时用SRC收到的漏洞组织开发进行复盘分析，找出误判的原因更有效。不过是在事后，安全团队需要承担安全事件带来的领导质疑、赏金等代价。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SDL与DevSecOps有何异同？ 如何在不同企业实施SDL？ SAST误报太高，如何解决？ SDL需要哪些人参与？ 在devops中做开发安全，会遇到哪些问题？ 如何实施安全需求？ 安全需求，有哪些来源？ 安全需求怎么实现自动化？ 实施安全需求，会遇到哪些难题？ 安全需求和安全设计有何异同及关联？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ 编码阶段，开展哪些安全活动？ 如何选择静态代码扫描(SAST)工具？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 如何制定一份有用的开发安全规范？ 如何做到开发安全规范的有效实施？ 应该如何选型代码安全扫描工具？ SDL 26/100问：代码安全扫描应该设置哪些指标？ 2、SDL最初实践系列 开篇 安全需求 安全设计 安全开发 安全测试 安全审核 安全响应

美国关基保护体制的重大变化

前言

ARM v8.3 版本中新增了基于硬件的安全特性PA(Pointer Authentication)，并新增了一组相关指令pac和aut，p

青年节快乐，愿不受束缚，抬头向前

关于农业种植的若干思考

计算机从业者不能不懂的DevSecOps。

关基的AI安全

牢记使命、踔厉奋发，为网络强国建设贡献青春力量。