DevOps
关注
分享
扫一扫
文章平均质量分 87
火线安全
这个作者很懒,什么都没留下…
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
精选用户故事|洞态在聚水潭的误报率几乎为0,如何做到?
DevSecOps流程中的安全检测工具,适用于微服务架构,具有检出率高、误报率低和无脏数据的特点原创 2022-07-25 14:25:28 · 371 阅读 · 0 评论 -
IAST 实践利用洞态做开源组件的安全治理
背景 某大型集团在使用洞态一段时间后,发现其配套使用的组件管理的漏洞知识库内容存在滞后性和部分不准确性。倘若将这些内容引入到工单系统中作为安全组件整改任务,那么提供给开发部门的漏洞描述、漏洞危害和修复建议便会显得没有说服力。因此需要寻找实时、有效且免费的安全漏洞知识库的信息来源。 解决方案 目前业内开源组件的安全知识库的来源,主要有两种: 人工维护的商用漏洞数据库 NVD 免费漏洞数据库 由于使用洞态提供的组件信息,最好还是集成免费信息来源。由于 dependency check 工具是通过调用 NVD转载 2022-02-11 14:54:19 · 657 阅读 · 0 评论 -
DongTai 社区双周报 | v1.2.0 版本亮点功能更新
洞态 IAST 自开源发布以来,一直保持着双周更新一版的节奏不断迭代。项目开启之初,社区小伙伴们参与的积极性很高,为洞态提出了许多建设性意见,也贡献了很多代码,很感谢洞态伙伴们的付出。 DongTai 特发布双周报,希望可以帮助社区的小伙伴们更好地掌握 DongTai 社区的进展,方便大家参与到 DongTai 社区中来。 双周报主要是整理展示新增的社区贡献者(包括 Contributor 和 Committer),并对新版本的功能进行解析。 ——导语 近期功能特性亮点 1.新增项目 DongTai-SD原创 2022-01-04 17:33:31 · 258 阅读 · 0 评论 -
社区原生的 Go Agent 即将开源
Go Agent 作为洞态 IAST 首个社区原生的 Agent,将于 2022-01-01(洞态社区四个月纪念日)正式开源! 特别鸣谢:芒果TV gelenlen 大佬、腾讯安全平台部 caoshutao 大佬,感谢大佬们对洞态社区所做的贡献,Respect! 社区原生 洞态 IAST 在9月1日开源后,获得了大量来自社区的反馈和宝贵的意见,同时也出现了大量的同行者和引路人。洞态 IAST 通过社区的力量,孵化出项目版本、跨项目的漏洞链路跟踪等 Feature,优质的敏感信息检测规则,以及重量级的 Go.原创 2021-12-30 15:41:01 · 374 阅读 · 0 评论 -
从了解洞态 IAST 到加入开源社区
引言 作为公司信息安全部的成员,确保每一条业务线的应用安全,是我工作的一部份,那么如何完全这项使命呢?我会在接下来的篇幅中一一说明。 应用安全测试 目前常见的应用安全目前常见的应用安全测试有三种:SAST (静态应用程序安全测试),DAST (动态应用程序安全测试)、IAST (交互式应用程序安全测试)。 SAST 我们已经自研了一套应用于主要业务线的 SAST 平台,在使用的过程中,有不错的漏洞检出率,但受限于编程语言,以及其存在一定的误报率,需要消耗较大的运营成本去审核检出的漏洞。 DAST 黑盒安全测转载 2021-12-28 15:05:27 · 402 阅读 · 0 评论 -
【漏洞处置方案】Apache Log4j2远程代码执行漏洞&对外技术支持服务
昨日,Apache Log4j2 成为知名漏洞,其危害性使得该漏洞吸引了安全圈所有人的目光。火线安全为防止其继续扩大影响范围,特发布针对该漏洞的处置方案。 漏洞描述 Apache Log4j 2是对Log4j的升级,它比其前身Log4j 1.x提供了重大改进,并提供了Logback中可用的许多改进,被广泛应用于业务系统开发,用以记录程序输入输出日志信息。是目前较为优秀的Java日志框架。由于Apache Log4j2某些功能存在递归解析功能,攻击者可通过构造指定的恶意请求,触发远程代码执行从而获取服务器权限原创 2021-12-10 19:32:10 · 502 阅读 · 0 评论 -
洞态IAST v1.1.3 版本正式发布,敏感信息检测能力大增
洞态自发布以来,版本一直保持着两周一次的迭代速度。本周,我们很高兴向大家介绍洞态 v1.1.3 版本。此版本重在增强敏感信息检测能力与提升用户的使用体验,本次版本重点更新内容如下: 增强敏感信息检测能力 新增策略模版管理功能 新增“关于洞态”页面 新增Agent主动验证的关闭功能 优化项目配置 优化组件管理功能 01 增强敏感信息检测能力 支持 HTTP 请求中请求参数 请求体和响应体的检测 使用场景 根据《个人金融信息保护技术规范》要求,C3 以上级别的数据,在进行传输时,需要进行加密处理,包括手原创 2021-12-08 12:23:13 · 466 阅读 · 0 评论 -
从 DevSecOps 流程视角看 IAST 技术应用与发展
近几年,伴随云计算、容器技术以及 DevOps 的普及,DevSecOps 作为糅合了开发、安全及运营理念的全新方法,其关注热度持续上升,并在全球范围内得到广泛应用。目前 IAST 被部分业内人士看作一种“更适合 DevSecOps 流程构建”的应用程序安全检测技术,受到行业的更多关注。那么 IAST 是否真的更适合 DevSecOps 流程构建?它能够提供哪些核心能力和关键技术,以及有哪些局限性,未来前景如何?对此,安全牛特别邀请到火线安全洞态 IAST 产品负责人董志勇先生,就 IAST 和 DevSe原创 2021-12-03 15:08:55 · 3329 阅读 · 0 评论 -
同程旅行 IAST 实践
同程旅行 IAST 落地实同程旅行是最先部署洞态 IAST 的企业之一。在未部署 IAST 前,同程旅行的漏洞检测修复速度一定程度上拖慢了应用更新迭代的进度,急需一款高效的自动化漏洞检测工具来提升安全能力。经过一系列的调研与考察,我们感叹于洞态 IAST 强大的检测能力和优越的兼容性,最终选定洞态 IAST 作为自动化漏洞检测的主力工具,整个部署调优的过程也得到了洞态团队的全力支持。以下为同程旅行的 IAST落地实践: 01 安全困境 随着敏捷开发和 DevOps 在同程软件开发上的应用,软件开发明显提效.原创 2021-11-11 16:49:00 · 2227 阅读 · 0 评论 -
安全左移|洞态IAST构建高效DevSecOps流程
9月25日,由CNCF大使、开源意见领袖共同发起的,国内最大的独立第三方云原生终端用户和泛开发者社区——云原生社区,在腾讯大厦成功举办深圳站首届MeetUp。 本届MeetUp聚焦云原生,火线安全洞态产品负责人董志勇分享了“使用IAST构建高效的DevSecOps流程”,从IAST的时代需要到IAST含义,从洞态IAST的功能与实现原理到洞态IAST与DevOps的高效融合均做了详细介绍。 01 IAST的时代需要 #安全测试是应用开发的必要环节 自2016年以来,随着《中华人民共和国网络安全法》、《中华原创 2021-09-29 15:39:27 · 703 阅读 · 0 评论