互联网模板

重点关注AI系统自身的安全防护以及AI技术固有和衍生的安全风险。

隐私计算保障数据安全，实现数据可用不可见。

DeepSeek R1不仅降低了推理成本，还通过强化学习大幅度提升了推理能力。

当安全的价值被认可，才可能获得更多的预算，这个行业才能真正进入需求驱动，安全业务融合共生的黄金时代。

从业务为中心思考网络安全，完善用户安全和作业安全的业务安全，以应对网络安全的挑战。

从多个方面出发，提供关于威胁建模的全面理解和实践指导。

全面认识UEBA，助力企业有效应对内部威胁，构建稳固的安全体系。

介绍sRDI技术，针对主流杀毒软件的防护机制，提供了一种有效的木马样本代码层面免杀方案。

研究常见钓鱼及木马免杀技术，探索其原理与特点，以提供更全面的理论基础，应对复杂网络安全威胁。

探讨在DevOps中平衡开发速度和产品质量的四个关键策略。

增强企业数据合规预期，强化主管部门监管联系，明确法律适用标准及合规尺度...

详细对比五款主流SAST工具的优势与劣势，助您选择工具时快速决策。

RASP在安全防护体系中的位置是作为现有防护措施的补充，而不是替代。

金融机构需结合自身情况建立常态化的安全防护及安全检测机制。

通过实践先进的安全技术和管理手段，提高开发效率，平衡合规性和安全性。

共同见证中国数据安全领域从起步到成熟的发展历程。

通过内外结合，全面分析安全需求，构建既合规又满足业务发展需要的安全体系。

剖析AIGC生成代码所面临的主要安全风险，并探索一系列行之有效的应对措施。

从技术路线演变视角，探讨软件缺陷检测的机遇和挑战。

详细介绍AI如何增强DevOps的代码安全能力。

被AI武装的软件工程师，更能敏捷地构建与维护软件，满足客户的需求。

自上而下构建的治理体系才能真正解决企业面对的网络安全风险问题。

揭示市场上多款主流产品在安全性方面存在的差异和潜在风险。

研发管理、研发质量、研发安全三管齐下，让软件开发更安全。

推动汽车行业在面对网络安全挑战时的技术创新和前瞻性思考。

本文将系统介绍企业安全运营及数据安全运营实践。

本文对常见的五款漏洞扫描报告中：“漏洞详情”部分进行对比。

企业应加强安全意识教育、建立健全安全管理制度、定期更新系统等。

漏洞报告的根本目的是方便漏洞修复人员理解漏洞，并制定策略。

其实，我们的安全（Security）也一样，要清楚控制措施与风险之间的因果关系是否明确，要不然就要看你的解决方案处在因果关系不明确第四象限的什么位置，才好做决策。

AI技术的广泛使用，尤其是大语言模型 (LLM) 等生成式 AI 模型，带来了组织需要应对的一系列新的安全挑战，误用的风险也随之增加。

此次攻击的策划者确认为Midnight Blizzard，是由俄罗斯政府支持的网络行动组织。文章内容是笔者基于当前披露的内容分析和重现本次攻击事件的过程，希望对大家理解本次攻击的具体细节以及Azure安全有所帮助。

本文将深入探讨容器镜像的分层原理，并介绍使用各种开源工具对容器镜像进行扫描的实践。

如今网络安全面临着非常复杂的形势。随着互联网技术的普及与发展，越来越多的企业和社会机构将自己的业务和服务迁移到网络环境中，这同时也为恶意攻击者提供了更多的攻击面和攻击手法。

资产安全管理的需求是资产作业管理系统的约束条件。

外网拼技术，内网靠手速。

本次分享聚焦于甲方安全体系建设，提供实用的规划和实施方案，以帮助安全工程师在企业环境中更好地履行其职责。

最近由于业务的需要，我对Java的加壳和反加壳等技术进行了一些研究，现在就和大家分享一下我的研究成果。

随着数字化时代的到来，软件将成为构建业务数字化的基础设施，软件的安全将成为构筑数字世界的基础。现实中正是由于软件自身存在安全漏洞，才给不法分子可乘之机利用漏洞实施网络犯罪行为。

随着软件应用的广度和深度不断加大，软件在金融、能源、汽车电子、军工、通讯、零售、政务等领域，已经成为重要的基础设施。

随着我国信息技术的飞速发展，数字经济成为稳增长促转型的重要引擎。党的二十大报告指出，要加快建设网络强国、数字中国。加快推进数字化转型，是“十四五”时期建设网络强国、数字中国的重要战略任务。

随着企业规模的扩大和网络攻击的增加，单一的身份验证和访问控制功能已经不能满足需求。IAM开始发展出更多的功能模块，如单点登录（SSO）、目录服务、权限管理等，以提高用户体验和安全性。

OSINT代表开源情报，它是指从公开来源和数据收集情报的做法。与需要特殊访问的机密信息不同，开源情报利用可以不受任何限制合法访问的开源数据。这包括在互联网、公共记录、新闻文章、社交媒体平台、商业数据源等上找到的信息。

在金融科技的推动下，证券行业正面临着前所未有的网络安全挑战。本文聚焦于证券行业，探讨了如何从资产风险的视角出发，构建一个全面的漏洞全生命周期管理框架。该框架特别针对证券行业的高风险特性，通过资产识别、漏洞评估、优先级排序、修复、验证、情报共享和持续监测等环节，旨在有效降低安全风险，提升信息系统的安全性和可靠性。本文通过相关证券公司的实践案例，展示了该框架在证券行业中的应用效果。

众所周知，Windows AD是攻击者最喜欢攻击的对象，我对这个话题一直非常感兴趣，但是一直没有机会深入探讨。最近对Windows AD进行了一些研究和探索，并且利用靶场环境进行了测试，现在就和大家分享一下自己的实践。

在传统安全领域，安全运营日益成为衡量安全保障能力的指标，企业的安全重心也由安全能力的建设向安全运营转移。

随着信息技术的迅速发展和网络空间威胁的不断演变，软件系统的安全性逐渐成为企业和组织关注的焦点，企业需要一种系统性、结构化的方法来评估和提高其软件安全开发能力，以更好地评估潜在的软件安全风险。为了应对这一挑战，各种软件安全开发体系和评估模型应运而生。

随着云计算、物联网、大数据、AIGC等新技术的高速发展，万物皆可互联的智能时代已经到来，给人们带来便利的同时也带来了安全威胁和风险，软件供应链也已经成为网络空间攻防对抗的焦点，对关键基础设施和重要信息系统安全有着直接的影响。

前段时间，我突然收到公司国外安全运营人员的Struts2漏洞的最新告警，要求协助排查这个漏洞的影响。

全球化重要蓝海，持续增长据报告统计，东南亚9个主要电商平台的GMV总额在2022年达到了995亿美元，是2020年（疫情暴发第一年）的1.8倍，整体业务体量还在不停增长，是各路出海电商的必争之地。

随着网络攻击面的扩大、供应链攻击的频繁发生以及向云的转移，数据安全比以往任何时候都更加重要。根据IBM Security发布的《2023年数据泄露成本报告》，2023年全球数据泄露平均成本达到445万美元，创下历史新高。

SARS为医疗医疗机构提供了一个综合的信息安全解决方案，但是SASE的实施，需要根据医疗机构自身的实际情况来合理配置和管理，否则效果很可能不尽人意。

智慧城市是集成和互联技术的集合，这些技术不断地在彼此之间传输数据并封闭在特定的城市环境中。随着智慧城市专注于数据驱动和互联的基础设施，人工智能、5G、机器学习和其他现代技术的采用将导致智慧城市支出增加。

智能汽车是“中国制造2025战略”的核心攻关技术，是我国加快工业化与信息化融合、改善交通安全及形成社会和谐发展的战略性选择。

随着开源项目的数量和规模不断增加，项目的管理和协同变得更加复杂，大型开源项目往往涉及多个贡献者、组织、代码库和依赖关系，需要更强大的治理结构。

随着云原生的广泛应用，云原生安全问题逐渐凸显出来，传统的安全措施往往难以满足云原生环境的需求，新的安全策略和解决方案呼之欲出，要保障云原生应用的安全性，不仅需要技术的进步，更需要企业全面理解和实践安全策略。

用一个词来总结一下我的核心观点——BuSecOps，Bu即Business，就是安全最终要迈向BuSecOps，要跟业务进行深度地绑定，跟业务共生。

虽然Log4j漏洞已经出来快2年了，但是最近的现网扫描还存在。所以今天就想重新介绍一下这个反序列化漏洞和Log4j漏洞。

从研发项目的角度来说，软件研发不但要做一个质量高的软件，同时也要符合市场预期，这才是一个正确的软件，这也是研发效能关注的重点。

数据泄露对企业的影响很大，泄露的途径多数都与终端设备有关，因为多数企业构筑了较为完善的防御体系，直接攻击难度较高，而成千上万使用终端的员工更容易突破，是攻击的薄弱点所在，所以终端安全一直以来都是企业的痛点，但也是必须要做的基础工作。

SDL（Security Development Lifecycle，安全开发生命周期），是由微软提出的一种从安全角度指导软件开发的管理模式，通过在传统的软件开发生命周期的各个阶段穿插一系列的安全活动来保障和提升产品自身的安全能力。

本文旨在从辩证唯物主义的角度为网络安全建设提供一种包含认识论、辨证论、实践论、统一论、运动论、联系论和科学技术观的网络安全建设方法论，揭示了网络安全建设的辩证统一思想，从而为网络安全建设的路径思考和实践探索提供参考指引。

企业在网络安全、数据安全、开发安全管理过程中，常常涉及到权限管理。同时，由于权限管理过程中涉及到的角色种类多、环境复杂的情况，易导致权限管理混乱。

安全的本质在于风险和事件的发现、响应与处置，数据安全的本质从这个维度并无不同之处，区别在于数据资产和网络系统资产属性的差异化

在2002年电力改革厂网分家之后，打破了原国家电力公司所垄断，发电、输电、配电、设计、建设等业务板块做了分类、整合，形成了两大电网（国网、南网）、两大设计及建设EPC单位（中能建、中电建）、若干发电集团（五大+四小+地方）以及电力设备制造集团。

数据网关侧重于数据交换，应用网关侧重于应用程序间的通信和控制。

随着物联网、5G、云计算等技术发展和社会数字化转型持续发展，当下的数字资产的范围和类型也发生了巨大变化，同时未来将会有更多的新兴资产和服务出现，如何去建立更加合适高效的安全技术体系来管理企业面临的外部攻击面安全风险将是安全运营工作面临的新挑战。

只有全面数据风险管理对数据安全、数据合规、数据质量、数据产权、数据技术的相关风险统筹规划管理、统一布局，才能提升数据生产要素的应用价值。

传统的网络安全更多是关注系统运行时风险，因此，应用安全重点关注应用开发过程风险管理，即SDL软件安全开发生命周期管理。

在快节奏的技术领域，高效的软件研发和交付成为企业获得竞争优势的重要因素。

网络安全行业不应仅是数字经济中数据生产要素的安全保障者，也应是积极应用、发挥数据生产要素在网络安全产业的价值，实现网络安全产业数字化突破。

攻击面管理可以从内部管理和外部攻击者的角度来看，帮助组织克服持久的资产可见性和漏洞挑战，其中最重要的两个关键词：资产和漏洞。

数据安全包括两个维度，一个维度是数据本身的安全，主要是指采用现代密码算法对数据进行主动保护。另一个维度是数据防护的安全，主要是采用现代信息存储手段对数据进行主动防护。

当前在外部安全威胁不断加剧的背景下，为提升抗风险能力，安全、业务部门投入大量资源落实包括安全意识、数据安全、主机安全、研发安全等110+项具体工作，但结果却出现投入多、效率低、用户满意度差的情况，亟待建立集约型安全服务平台，基于集约化、场景化、自动化措施解决以下问题。

回归本质，可以通过集成项目活下去，但做好产品，找准场景，做深客户才是长久之策。

关于软件安全研发建设，每个公司的实际情况不同，所拥有的资源以及面临的业务场景也不一样，所以解决方案也会有一定的差异。本文分享一些软件安全研发的经验，希望可以给各位读者带来一些帮助和启发。

安全运营运营什么，运营已经完成建设的安全能力的工具、平台与系统，运营建设和更新组织的组织机构和规章制度，这些都是运营职责的范围与范畴，也是运营的基础设施，安全运营的目标还是针对安全风险与安全事件，实现安全风险与事件的发现、分析与响应。

针对企业API的攻击正成为黑灰产的首选，相较于传统窗体和Web网页，API承载的数据价值更大、攻击成本更低，通过攻击API来获取高价值数据、进行业务欺诈成为越来越多非法分子的常规手段。

现在很多企业都建立了DevOps流程，但安全基本还处在流程之外，没有融入传统DevOps流程，导致安全一直都是敏捷交付的瓶颈。

本文将以故事和经验实践的方式展示给大家，分享的内容主要有三个话题，分别是网络安全域的实践、API治理实践与SOAR的畅想与实践。本文仅为抛砖引玉之作，希望能给大家提供借鉴，并期待与业界同仁的深入探讨。

笔者一直认为，对于由他人的侵害所导致的安全问题（我们就叫它“人祸”吧），解决的根本方法是“保证正确的授权操作”。

人类认识世界，发现问题和解决问题的路径，主要依托两种方法论，一种是还原论，即把事物进行分解，通过对局部的了解和阐述，解决局部问题，从而实现全局问题的解决。也是传统网络信息安全解决问题的路径和模式。另外一种是系统论，把整体当作一个系统，看到不同部分的关联，整体的影响，从而系统的解决问题。

随着数字化转型和云原生技术的蓬勃发展，开源软件也彻底改变了软件行业生态和开发模式，并逐渐演变为一种实实在在的商业模式，也彻底改变了整个软件生态和竞争模式。

OpenAI在2022年11月推出了影响全球各行业的、革命性的人工智能语言模型ChatGPT。ChatGPT与其他AI的区别在于ChatGPT忽略搜索引擎，通过从机器学习数据中提取相关信息来形成原始响应。

HW行动的核心价值是一个相对较低成本的、可以快速查缺补漏的优质方法。

本文将会探讨ChatGPT在互联网安全研发领域的变革作用。

网络信息安全所有关于人员的资质认证中，都会有一个核心思想：安全战略需要为业务战略服务，安全战略需要与业务战略保持一致性。

本文作为《新视角下企业云化安全治理框架OCBC》B基准（云产品安全基准中安全基线子项）的纵向阐释篇，细化在云产品和服务风险管控中的一些个人理解、思考和落地实践。

随着社会数字化进程的不断推进，开源技术被广泛应用于各个行业，推动产业的快速发展。

S-SDLC CMM模型是一种“指导式”的软件安全开发能力成熟度评估模型。

本文将根据现在预览状态的OWASP API Top 10 2023版本针对API安全进行说明，并且给出一些实践的建议。

钓鱼攻击是一种社会工程学攻击，即攻击者通过伪装成可信实体的方式来欺骗用户，以获取敏感信息或进行其他恶意行为。

ChatGPT自从2022年10月份发布测试，先是小范围内引人惊叹，春节之后，迅速成为热点，在美团前联合创始人王慧文5000万美金带资进组到百度发布文心一言，迅速燃爆自媒体。

ASPM是应用安全态势管理（Application Security Posture Management）的简称，是一种让应用系统更加安全且更具有弹性，并且能显著降低业务风险的实践。

众所周知，安全本身是一种风险，对企业而言，所有的风险就是成本支出。软件供应链安全，实际上就是攻守双方打破了原有的攻守平衡。

现如今，安全和隐私已经成为社会关注的焦点，在社会层面、企业层面以及个人层面，我们所面临的安全隐私挑战都在持续地升级。

数据是企业业务的灵魂，如果企业能够不断发展和壮大，其业务或是能够在技术领域遥遥领先，形成技术壁垒，利用技术优势赚取利润，比如特斯拉、Google，或是业务发展过程中在数据方面获得独一无二的优势，形成网络效应，即便其他企业获得同类数据也依然不具有同等优势，比如微信、微博。

软件研发在数字化转型过程中会产生大量的数据，而研发管理需要去解决问题，在这过程中如何用研发的数据助力项目管理以及高效交付，是大家在工作中面临的问题。

随着新技术、新威胁和新攻击面的出现，网络安全不断变化和演进，其中一个很重要的安全领域是DevSecOps中的CI/CD如何影响生产环境中的应用程序的安全状况，特别是微服务、API、第三方依赖以及它们相关联的敏感数据。我们来分析一下当前的方案以及它们的优缺点。

敏捷项目管理，作为最近几年的热点话题之一，逐渐成为国内外各大互联网公司的标配，根据最新Version One公司做出的统计，90%的实施敏捷转型的公司，在采用敏捷项目管理方式后取得了非常好的改进效果，缩短了产品交付周期，提高了产品质量、客户满意度、研发效率及员工满意度。

现如今，互联网、软件、数字化等企业发展势头迅猛，不少大中小企业开始纷纷布局研发效能，但是研发效能问题往往被忽略。

OWASP SCVS（Software Component Verification Standard）全称是OWASP软件组件验证标准，是OWASP为了识别和降低软件供应链风险而由社区提出的项目，主要是为了建立一套用于识别活动、控制和最佳实践的框架。