安全归档 - Thoughtworks洞见

分布式系统下的认证与授权

2022年12月27日 by 马大伟 Leave a Comment

在软件系统设计中，如何让应用能够在各种环境中安全高效的访问是个复杂的问题，这个问题的背后是一系列软件设计时需要考虑的架构安全问题：架构安全性 | 凤凰架构认证：系统如何识别合法用户，也就是解决你是谁的问题；授权：系统在识别合法用户后，还需要解决你能做什么 [阅读更多]

2022年1月6日 by 李好 Leave a Comment

多年以后，面对加班的夜晚，Volkan Yazıcı 一定会回忆起发生在 2021 年底的这件事情，除了没日没夜的工作和无休止的解释以外，当然也少不了人们的愤怒和对他的谩骂。一不小心就见证历史的，除了 log4j [阅读更多]

2021年12月20日 by 谷中仁 Leave a Comment

在现代软件开发中，我们会使用一些公共镜像作为基础镜像来快速构建我们的应用镜像，并将其部署到生产环境中。随着越来越多的应用程序被容器化，容器安全也随之变得越来越重要。在项目的流水线中，我们可以使用漏洞扫描器进行扫描并提前获得反馈，实现 “安全左移” [阅读更多]

2021年12月7日 by 蒋帆 Leave a Comment

2021年11月11日 by 费庆毅 Leave a Comment

Claude Shannon: The enemy knows the [阅读更多]

2021年8月24日 by 章宾 1 Comment

2021年7月8日 by 杨璐 Leave a Comment

2021年6月1日 by 马伟 Leave a Comment

2021年5月25日 by 王张军 Leave a Comment

2021年4月6日 by 鄢倩 Leave a Comment

数字身份是打开数字世界里信任大门的钥匙，我们不能丢失对于它的掌管权利，就如同我们不能把钥匙交给陌生人保管一样。我们的信任前段时间，我读过一本书《我们的信任：为什么有时信任，有时不信任》（Liars and [阅读更多]

2021年2月7日 by 陈曦宇 1 Comment

最近在GitHub 上发现一个有意思的功能：如果一个提交被作者签名了，并且签名可被验证的话，提交上会显示一个绿色的Verified的标志。如下图所示： [阅读更多]

2020年12月15日 by 杨倚 Leave a Comment

在证书验证、基于JWT(Json Web Token)的身份认证、IDP(身份提供商)、SP(服务提供商)等技术中，都有一个可信的第三方，可明明是用户对资源或者服务的访问，为啥还要个第三方？这篇文章整理了一些相关技术的案例，并尝试分析其这样设计的原因。经典案例 01 [阅读更多]

2020年9月17日 by 林宁 Leave a Comment

对于一个软件开发团队，可以通过哪些代码质量指标和扫描方法让团队产出规范、安全、高质量的代码？让开发团队运行的安全、透明、可靠？本文总结了其中一些实践和工具，包含常见代码质量扫描工具、代码质量指标、第三方依赖管理、安全运维等几个方面，主要适用于 Java/JavaScript [阅读更多]

2020年7月30日 by 刘涛 Leave a Comment

2020年7月16日 by 马伟 Leave a Comment

这是个什么漏洞最近（2020年2月20日）Apache Tomcat爆出一个高危的服务器文件包含漏洞（CVE-2020-1938），据国家信息安全漏洞共享平台上的漏洞描述来看，攻击者可以利用这个漏洞读取或包含 Tomcat 上所有 webapp [阅读更多]