作者:JFrog大中华区总经理董任远
管理安全漏洞并非易事,这不仅是因为漏洞可能很难被发现,还因为漏洞类型繁多。最新国家信息安全漏洞共享平台(CNVD)漏洞信息月度通报(2023年第5期)显示:“收集整理信息安全漏洞1581个,其中高危漏洞727个,中危漏洞746个,低危漏洞108个。上述漏洞中,可被利用来实施远程网络攻击的漏洞有1357个。”而幸运的是,相关工具和技术可以解决各种可能潜伏在技术栈任何一层的漏洞。
什么是安全漏洞?
安全漏洞是IT资源中可能被攻击者利用的错误或缺陷,其形式多种多样。安全漏洞可能是应用程序源代码中的一个编码错误,能够被用于发动缓冲区溢出攻击。它可能是开发人员的疏忽,忘记在应用程序中对输入内容妥当地进行验证,从而使注入攻击成为可能。它可能是访问控制策略或网络配置中的一个错误配置,使外部人士能够访问敏感资源。
安全漏洞、漏洞利用、漏洞威胁、漏洞攻击
“安全漏洞”、“漏洞利用”、“漏洞威胁”和“漏洞攻击”这几个词往往会接连出现。然而,尽管这些术语密切相关,但它们各自指的是可能导致安全事件的事件链中不同部分:
安全漏洞的主要类型
虽然IT环境中可能存在各种各样安全漏洞,但大多数都归属于以下四类:
检测应用程序的安全漏洞
鉴于安全漏洞形式多样,对其检测也需要多管齐下。有多种技术有助于发现安全风险。
静态应用安全分析
静态应用安全分析(SAST)是安全测试的一个类别,通过扫描源代码和(在某些情况下)二进制代码,以确定其中存在的漏洞。通常情况下,SAST会寻找漏洞的“签名”,如已知不安全的依赖项。
动态应用安全分析
动态应用安全分析(DAST)通过对测试环境中的应用自动发起主动攻击来识别漏洞。如攻击成功,则能揭示应用程序中的漏洞。
渗透测试
在渗透测试中,安全测试人员会手动尝试识别和利用漏洞。渗透测试不同于DAST之处在于,渗透测试需要安全专家来主动寻找漏洞,而DAST则有赖于自动攻击模拟。
图像扫描器
图像扫描器(例如JFrog Xray)能够在软件被编译或打包后检测其漏洞。因此,对于识别应用程序包中可能招致攻击的薄弱依赖项或配置,图像扫描器是非常有用的。例如,图像扫描器可以检查容器图像,以确定该图像的任何依赖项是否包含漏洞。
配置审计
配置审计工具通常用于验证承载应用程序的基础设施的配置,而非应用程序本身(尽管在某些情况下,配置审计可在定义了应用程序设置的配置文件上执行)。
例如,云环境的配置审计能够检测不安全的IAM规则或网络配置。此外,配置审计器可用于扫描Kubernetes环境,以检测Kubernetes安全上下文、网络策略或其他会削弱环境安全态势的设置中的错误配置。
好文章,需要你的鼓励
人工智能革命正在重塑各行各业的CIO角色,为技术领导者创造前所未有的机会来提升其战略影响力。在东北杂货店,这一转变使未来准备责任得以在整个组织中重新分配。CIO不再是唯一负责预见未来技术需求的人,而是通过赋予业务伙伴AI能力,使展望未来成为共同努力。AI的"WOW"因素不仅提高了效率和生产力,还将CIO从服务提供者转变为赋能整个业务生态系统的动力创造者。
一份新报告预测,到2035年人工智能将从根本上改变人类行为、认知和关系。专家们认为,AI 将深刻影响人的思维方式、情感能力和自主性,可能导致认知能力衰退、社交技能下降和个人独立性减弱。同时也可能加剧社会极化,削弱共同价值观。尽管存在担忧,部分专家仍对 AI 增强人类能力持乐观态度。这份报告引发了对 AI 如何重塑人类本质的深入思考。
Tomer Cohen作为LinkedIn的首席产品官,负责管理产品、用户体验和客户运营团队。他从以色列移居硅谷,在斯坦福大学就读期间被LinkedIn的理念所吸引。Cohen加入公司后,推动了从桌面到移动平台的转型,并致力于开发社交信息流等产品。他认为LinkedIn的核心价值在于连接人与职业网络,为用户提供发展机会。在Cohen的领导下,LinkedIn从单一的求职网站发展成为日常工作工具,拥有超10亿用户。他表示,未来将继续借助AI等技术,为用户提供更个性化的体验。
据《纽约时报》报道,亚马逊突然加入 TikTok 收购竞争,提交了全面收购报价。然而,交易各方似乎并不重视这一出价。TikTok 面临 4 月 5 日前剥离中国所有权或在美国遭禁的最后期限。特朗普总统将于周三与官员讨论 TikTok 的命运,他表示交易将在期限前敲定。与此同时,其他潜在买家如 Andreessen Horowitz 和 Blackstone 也在积极参与竞购。