数字信任之钥——数字身份
数字身份是打开数字世界里信任大门的钥匙,我们不能丢失对于它的掌管权利,就如同我们不能把钥匙交给陌生人保管一样。 我们的信任 前段时间,我读过一本书《我们的信任:为什么有时信任,有时不信任》(Liars and [阅读更多]
安全
如何给git commit签名
最近在GitHub 上发现一个有意思的功能:如果一个提交被作者签名了,并且签名可被验证的话,提交上会显示一个绿色的Verified的标志。如下图所示: [阅读更多]
信任的传递——为什么我们需要第三方授权?
在证书验证、基于JWT(Json Web Token)的身份认证、IDP(身份提供商)、SP(服务提供商)等技术中,都有一个可信的第三方,可明明是用户对资源或者服务的访问,为啥还要个第三方? 这篇文章整理了一些相关技术的案例,并尝试分析其这样设计的原因。 经典案例 01 [阅读更多]
如何产出规范、安全、高质量的代码?
对于一个软件开发团队,可以通过哪些代码质量指标和扫描方法让团队产出规范、安全、高质量的代码?让开发团队运行的安全、透明、可靠?本文总结了其中一些实践和工具,包含常见代码质量扫描工具、代码质量指标、第三方依赖管理、安全运维等几个方面,主要适用于 Java/JavaScript [阅读更多]
Apache Tomcat CVE-2020-1938以及安全防御
这是个什么漏洞 最近(2020年2月20日)Apache Tomcat爆出一个高危的服务器文件包含漏洞(CVE-2020-1938),据国家信息安全漏洞共享平台上的漏洞描述来看,攻击者可以利用这个漏洞读取或包含 Tomcat 上所有 webapp [阅读更多]
作为破局者的安全服务平台
安全开发生命周期能够确保应用程序具备充足的安全性,而自动化是推行它的一个重要手段。不少企业的安全团队已经在这方面进行了很多努力,但也面临着新的挑战。比如重复建设、实施质量良莠不齐、信息分散、没有形成闭环等等。安全服务平台是这个困境的破局者。 1. [阅读更多]
日志中的用户隐私安全
摘要: 对于敏捷团队,安全卡应该提到比业务卡更高的优先级,同样需要放在backlog里面进行track,需要kick [阅读更多]
数据安全在交付中的思考
2017年7月,Equifax用户数据泄露事件使得1亿4千300万个人信息(包括社会保障号码、出生日期、地址、驾照编号)和20万9千个用户的信用卡数据被盗。该事件直接导致1.43亿美国人的个人信息的破坏和泄露。CEO Richard [阅读更多]
8大前端安全问题(下)
在《8大前端安全问题(上)》这篇文章里我们谈到了什么是前端安全问题,并且介绍了其中的4大典型安全问题,本篇文章将介绍剩下的4大前端安全问题,它们分别是: 防火防盗防猪队友:不安全的第三方依赖包 用了HTTPS也可能掉坑里 本地存储数据泄露 [阅读更多]