内建安全的软件开发
分布式系统下的认证与授权

在软件系统设计中,如何让应用能够在各种环境中安全高效的访问是个复杂的问题,这个问题的背后是一系列软件设计时需要考虑的架构安全问题:架构安全性 | 凤凰架构 认证:系统如何识别合法用户,也就是解决 你是谁 的问题; 授权:系统在识别合法用户后,还需要解决 你能做什么 [阅读更多]
关于Log4j你不知道的事

多年以后,面对加班的夜晚,Volkan Yazıcı 一定会回忆起发生在 2021 年底的这件事情,除了没日没夜的工作和无休止的解释以外,当然也少不了人们的愤怒和对他的谩骂。一不小心就见证历史的,除了 log4j [阅读更多]
容器安全扫描工具推荐

在现代软件开发中, 我们会使用一些公共镜像作为基础镜像来快速构建我们的应用镜像,并将其部署到生产环境中。 随着越来越多的应用程序被容器化,容器安全也随之变得越来越重要。在项目的 流水线 中, 我们可以使用漏洞扫描器进行扫描并提前获得反馈,实现 “安全左移” [阅读更多]
信任的传递——为什么我们需要第三方授权?

在证书验证、基于JWT(Json Web Token)的身份认证、IDP(身份提供商)、SP(服务提供商)等技术中,都有一个可信的第三方,可明明是用户对资源或者服务的访问,为啥还要个第三方? 这篇文章整理了一些相关技术的案例,并尝试分析其这样设计的原因。 经典案例 01 [阅读更多]
Apache Tomcat CVE-2020-1938以及安全防御

这是个什么漏洞 最近(2020年2月20日)Apache Tomcat爆出一个高危的服务器文件包含漏洞(CVE-2020-1938),据国家信息安全漏洞共享平台上的漏洞描述来看,攻击者可以利用这个漏洞读取或包含 Tomcat 上所有 webapp [阅读更多]
作为破局者的安全服务平台

安全开发生命周期能够确保应用程序具备充足的安全性,而自动化是推行它的一个重要手段。不少企业的安全团队已经在这方面进行了很多努力,但也面临着新的挑战。比如重复建设、实施质量良莠不齐、信息分散、没有形成闭环等等。安全服务平台是这个困境的破局者。 1. [阅读更多]
日志中的用户隐私安全

摘要: 对于敏捷团队,安全卡应该提到比业务卡更高的优先级,同样需要放在backlog里面进行track,需要kick [阅读更多]