Aggregator

CPG中提供了函数摘要（Function Summary）的方式来自定义数据流，从而解决漏报问题。

您有一份周报待查收......

威胁狩猎在安全运营工作中开展的关键要素

大模型哲学：能prompt就prompt，能few shot就few shot，实在不行在微调。

开发安全团按照实际情况制定好安全规范后，下一步就是要求开发人员参照规范编写代码。在企业研发安全的建设过程中，要想做好开发安全规范落地，至少需要完成以下三件事： 1、组织评审，然后发布：开发安全规范通常是由安全团队发起，此时出发点、编写视角很难考虑到研发，所以一定要邀请开发经理或架构师进行评审，达成一致后走发布流程在全公司发布，做到合理的有法可依； 2、培训赋能，广而告之：组织开发团队进行培训，并结合考试，可对开发人员当时的掌握情况进行评估。经过大量实践后发现，组织经常写漏洞的开发、通过安全事件推进相关开发复盘编码安全问题，更能解少编码阶段引入漏洞的问题； 3、技术闭环，靠谱之道：开发人员即使经过了培训和考试，但在实际编程过程中往往会因为习惯和技术栈问题，忽视了规范而去写漏洞。若是能将开发安全规范内容落实到SAST工具上进行检测，尤其是在开发语言比较统一的环境中，规范的落地才算得上获得保障。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SDL与DevSecOps有何异同？ 如何在不同企业实施SDL？ SAST误报太高，如何解决？ SDL需要哪些人参与？ 在devops中做开发安全，会遇到哪些问题？ 如何实施安全需求？ 安全需求，有哪些来源？ 安全需求怎么实现自动化？ 实施安全需求，会遇到哪些难题？ 安全需求和安全设计有何异同及关联？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ 编码阶段，开展哪些安全活动？ 如何选择静态代码扫描(SAST)工具？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ SDL 23/100问：如何制定一份有用的开发安全规范？ 2、SDL最初实践系列 开篇 安全需求 安全设计 安全开发 安全测试 安全审核 安全响应

推荐近2年来读过的一些书籍