分类： 安全

近日，第十届互联网安全大会（ISC2022）打造的网络安全行业万人元宇宙峰会拉开序幕，同步上线十大元宇宙数字安全论坛。悬镜安全作为特邀嘉宾参加“实战驱动下的安全运营论坛”，技术合伙人李浩在线上分享了悬镜在帮助企业用户落地积极防御体系过程中对BAS（入侵与攻击模拟）技术的创新和应用。以下为演讲实录： RSAC2018大会正式提出黄金管道（Golden Pipeline）软件流水线实践体系，强调CI/...

GVP（Gitee 最有价值开源项目）是开源中国（OSCHINA）旗下平台Gitee综合评定出的优秀开源项目。Gitee作为国内知名的代码托管和协作开发平台，素有“国产GitHub”之称，吸引了超过800万的开发者，托管项目超过2000万，汇聚几乎所有本土原创开源项目，而目前被评为GVP的项目仅有377个（截至本文发稿前）。OpenSCA是唯一入选GVP的SCA（软件成分分析）工具。  ...

近日，Atlassian官方发布了Confluence Server和Data Center OGNL 注入漏洞（CVE-2022-26134）的安全公告，远程攻击者在未经身份验证的情况下，可构造OGNL表达式进行注入，实现在Confluence Server或Data Center上执行任意代码。该漏洞CVSS3.1评分为9.8，目前该漏洞细节与PoC已被公开披露，且被检测到存在在野利用。 At...

近日，公安部向安芯网盾发出感谢信，以表彰安芯网盾在2021年公安部网络安全专项行动中，支持网络安全保卫工作所做出的积极贡献。 作为国内首家落地的内存安全领域的安全厂商，安芯网盾充分发挥自身在高级威胁检测与响应方面的优势，积极响应并组织专业的技术专家团队，全面支持本次专项行动，深入贯彻执行公安部行动部署要求，高标准计划并执行整体行动方案，最终圆满完成任务，充分展现了安芯网盾作为安全厂商的责任和担当。...

安芯网盾内存安全周报专栏，希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题，防止外部入侵等威胁、有效的对系统进行安全设计，以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等恶意行为。

近日，Atlassian官方发布了一则安全更新，通告了一个严重且已在野利用的远程代码执行漏洞CVE-2022-26134，攻击者利用该漏洞，无需任何条件即可在Confluence中执行任意命令。 该漏洞利用难度极低，影响范围广泛，同时利用方式已经公开，接下来将会有更多在野利用事件发生。悬镜建议企业自查，如使用Confluence，请及时采取安全措施。此外，悬镜云鲨RASP对该漏洞天然免疫防护。 一...

汽车行业不断加快数字化转型进程，在促进业务增长与升级的同时，使得企业不得不直面与正视更加严厉的合规监管要求、更加严峻的应用安全现状、更加迫切的信息安全诉求。这样的形势使得软件安全不再能仅靠安全产品或检测工具保证，而需要更加彻底更加坚决的解决方案。   悬镜安全受AutoCS 2022智能汽车信息安全大会组委会特别邀请，联合策划了“AutoCS Live”系列第三期，并已于5月19日上线。...

用什么来保护Web应用的安全？猜想大部分安全从业者都会回答：“WAF（Web Application Firewall, 应用程序防火墙）。”不过RASP（Runtime Application Self-Protection，应用运行时自我保护）横空出世，似乎有取而代之的意味。 长期以来，防火墙一直是大家公认的抵御外部攻击的关键措施。而WAF作为防火墙中的“偏科生”，更擅长于分析应用流量。简单而...

RASP全称为“Runtime application self-protection”，即“运行时应用程序自我保护”。Gartner 在2014年应用安全报告里将 RASP 列为应用安全领域的关键趋势。

蜜罐在近几年的攻防实战演习中大放光彩，它作为欺骗防御的重要技术，是主动防御的主要方法，也是实战由被动向主动转变最有效的手段，用好蜜罐可有效提升网络安全防御能力。蜜罐的核心是仿真能力，所能提供的仿真能力和用户环境贴合度越高诱捕效果越好。因此蜜罐在部署时，往往都需要根据部署环境对蜜罐仿真的各类对象和数据进行定制化，将自有的一些业务系统站点例如办公系统、ERP系统、信息发布平台等做成蜜罐部署出来，这样的...

嘉宾 | 宁戈 编辑 | 徐杰承 审校 | 莫奇 悬镜安全CTO宁戈做客51CTO直播间   代码疫苗技术，是一种能够通过运行时插桩技术进行应用漏洞检测及安全防护的新一代安全技术，其所涵盖的IAST技术与RASP技术，已连续数年被Gartner列在十大安全技术之内。 在不久前的【T·TALK】系列活动第七期中，51CTO特别邀请到了悬镜安全CTO宁戈做客直播间，为大家分享代码疫苗技术的原理、实现及...

近日，全球知名咨询公司IDC（International Data Corporation）发布了《IDC Innovators: 中国DevSecOps技术，2022》报告（加个链接，链接到IDC那篇）。悬镜安全被评选为IDC中国DevSecOps技术创新者，这进一步验证了悬镜在软件供应链安全领域的头部地位，表明悬镜的创新技术、产品服务均得到国际权威机构认可。 《IDC Innovators: ...

一、为什么要做资产梳理 面向互联网的系统暴露的信息越多，如端口、后台管理系统、与外单位互联的网络路径等信息，越容易被攻击者盯上。攻击者往往不会正面攻击防护较好的系统，而是通过一些单位机构自己都未记录或防护不严的信息资产发动攻击。因此需要对单位机构资产进行梳理，资产梳理后可以确定主机漏洞、弱口令扫描、web应用漏洞、基线配置的目标，排查无备案、无管理、无防护的信息资产，收集信息资产开发端口服务，作为...

“DevSecOps市占率持续领先，IAST探针覆盖率十倍增长，代码疫苗技术已成功帮助上千家行业用户成功抵御‘Log4j2.x’等重大未知漏洞的利用攻击。”子芽向腾讯云启的采访者透露道。 这是2021年悬镜安全交出的一张成绩单。悬镜安全是DevSecOps敏捷安全领导者，子芽是这家企业的创始人。   图1：悬镜安全创始人&CEO子芽   身处DevSecOps赛道的产业...

CWE（Common Weakness Enumeration，通用缺陷枚举），由美国国土安全部下的US-CERT（美国计算机安全应急响应组）资助，是全世界最早和相对权威的软件安全漏洞模式库。通过CWE国际兼容性的认证，表明该项技术和产品能够比较友好地支持国际上主要漏洞（缺陷）模式的检测和分析。“CWE兼容”已作为攻击面管理产品的重要等级标志被国际用户和安全管理人员所认可。 截至目前，全世界仅有7...