Aggregator

SDL 20/100问:如何选择开源组件安全扫描(SCA)工具?

我的安全视界观
1 year 11 months ago
SCA(Software Composition Analysis,软件成分分析)工具,主要用于检测项目依赖项中可能存在的公开披露的漏洞,个别工具在早期提供了漏洞证明代码(POC),现由于监管、担心被滥用等问题都不再提供,而是用标记来说明。 1、商业的SCA工具,通常还会具有开源协议分析的功能,提醒用户使用的开源组件是否有合规方面的风险。 2、当提到SCA工具时,令人想到的核心能力有:开源组件依赖分析(拆包识包)能力、漏洞情报(漏洞库)能力、开源许可证识别能力。这几点上,显然商业的要比开源的更胜一筹。 3、在选择SCA工具时,仍然首要考虑对实施扫描的环境(主要为开发框架和语言)的支持性,其次是考虑工具的准确性(上述核心能力),最后是工具的易用性、及集成能力。 更多软件安全内容,可以访问: 1、SDL100问:我与SDL的故事 SDL与DevSecOps有何异同? 如何在不同企业实施SDL? SAST误报太高,如何解决? SDL需要哪些人参与? 在devops中做开发安全,会遇到哪些问题? 如何实施安全需求? 安全需求,有哪些来源? 安全需求怎么实现自动化? 实施安全需求,会遇到哪些难题? 安全需求和安全设计有何异同及关联? 设计阶段应开展哪些安全活动? 有哪些不错的安全设计参考资料? 安全设计要求怎么做才能落地? 有哪些威胁建模方法论? 有哪些威胁建模工具? 如何开始或实施威胁建模? 威胁建模和架构安全评审,有何异同? 编码阶段,开展哪些安全活动? SDL 19/100问:如何选择静态代码扫描(SAST)工具? 2、SDL最初实践系列 开篇 安全需求 安全设计 安全开发 安全测试 安全审核 安全响应

Bobby Tables but with LLM Apps - Google NotebookLM Data Exfiltration

Embrace The Red
1 year 11 months ago

Google’s NotebookLM is an experimental project that was released last year. It allows users to upload files and analyze them with a large language model (LLM).

However, it is vulnerable to Prompt Injection, meaning that uploaded files can manipulate the chat conversation and control what the user sees in responses.

There is currently no known solution to these kinds of attacks, so users can’t implicitly trust responses from large language model applications when untrusted data is involved. Additionally though NotebookLM is also vulnerable to data exfiltration when processing untrusted data.

Managed ad