网络安全公司 Endor Labs表示,微软已将旗下的软件成分析技术(英文缩写为SCA)以原生的方式整合到旗下的Microsoft Defender for Cloud 云原生应用保护平台中。
这意味着安全团队现在可以将应用安全和云安全项目整合到一个平台上及跨越软件开发和部署周期所有阶段的统一仪表板。
SCA是一种用于识别和管理软件应用程序中开源组件和依赖关系的流程。SCA侧重于分析软件代码库,进而检测第三方库、框架和开源组件的使用情况。CNAPP (云原生应用保护平台)保护云原生应用程序的方式是通过处理软件容器、Kubernetes 容器编排器、无服务器功能和微服务等的独特特性。
Endor Labs 周二表示,原生整合使团队能够将 SCA 发现与运行时警报进行关联,可以查看代码到运行时的攻击路径。这意味着他们可以在云环境中将开源软件依赖关系中发现的可利用漏洞追踪哪些潜在利用路径。这样就可以进行更有针对性的修复。
从代码追踪运行时漏洞还可以揭示一些难以发现的问题,例如一些在互联网可访问的云工作负载上使用的开源软件包中的可达漏洞。Defender for Cloud 用户可以看到完整的从提交的代码到云中运行时工作负载的攻击路径。
尽管根据 Endor Labs 的研究只有 9.5% 的漏洞可在特定应用程序环境中被利用,但团队要识别关键漏洞可能会非常困难。该公司的报告表示,风险往往没有被充分记录,只有 2% 的公共公告包含有关哪些库函数存在风险的信息。
安全团队现在可以利用 Defender for Cloud 整合,对他们发现的每个漏洞进行函数级可达性分析,并查看正在运行的应用程序中是否存在函数级可达的漏洞。发现了“可达”漏洞就表明开发人员的代码存在一些通过开源依赖关系到存在漏洞的库或函数的攻击路径。
Defender for Cloud整合目前处于公开预览阶段,将由 Azure市场提供。
好文章,需要你的鼓励
苹果在iOS 26公开发布两周后推出首个修复更新iOS 26.0.1,建议所有用户安装。由于重大版本发布通常伴随漏洞,许多用户此前选择安装iOS 18.7。尽管iOS 26经过数月测试,但更大用户基数能发现更多问题。新版本与iPhone 17等新机型同期发布,测试范围此前受限。预计苹果将继续发布后续修复版本。
北卡罗来纳大学研究团队通过深入分析手指触控过程中的动态特征,开发出新型触控识别算法,能够理解触控过程中的压力分布、接触面积变化等信息,比传统方法准确率提高15-28%。该技术采用分层处理架构解决计算效率问题,已在真实设备上验证效果,将为个性化交互、情感感知等未来应用奠定基础,有望显著改善用户的触控体验。
据报道,OpenAI正准备发布一款由即将推出的Sora 2视频模型驱动的独立社交应用。该应用与TikTok高度相似,采用垂直视频信息流和滑动滚动导航。不过,该应用仅支持AI生成的内容,用户无法从手机相册上传照片或视频。Sora 2在应用内生成的视频时长限制为10秒或更短。应用还包含身份验证工具,允许用户使用自己的肖像生成视频,其他用户可以标记并在重新混合视频时使用他们的肖像。
Perfios公司研究团队开发了创新的AI理财顾问训练框架,通过行为心理学驱动的数据生成方法,让8B参数的小模型在个人理财建议方面达到了与32B大模型相当的性能,同时运营成本降低80%。该方法首次将用户心理状态分析作为独立训练阶段,显著提升了AI建议的个性化程度和人性化表达,为普及化AI理财服务提供了技术路径。