本文深入分析供应链安全概念的演变,指出其当前过度炒作的问题,探讨NIST和ISO标准定义,并对比开源软件与商业软件的安全挑战,反思安全趋势对实际软件开发的负面影响。
本文介绍了一个用于去中心化联邦学习(DFL)的物联网众包感知恶意软件检测数据集,包含超过2158万条系统行为记录,聚合为34万多个特征,并在不同节点数、拓扑结构和数据分布下比较了传统机器学习、集中式联邦学习和DFL的性能。
Doyensec正在招聘全栈安全自动化工程师和应用安全工程师,专注于Web与移动应用安全测试、漏洞研究与工具开发。职位提供远程工作机会,强调技术挑战与研发创新,要求具备Node.js/Java开发能力或漏洞挖掘经验。
本文深入分析Windows 11/Server 2022 24H2中引入的内核地址泄露限制机制,探讨ExIsRestrictedCaller API如何通过SeDebugPrivilege检查防止非特权进程获取内核地址,提升系统安全性。
本文详细分析了2016年Pokémon Go iOS版存在的谷歌账户OAuth权限过度请求问题,包括技术团队如何通过越狱设备逆向分析、发现未公开的UberAuth令牌机制,以及最终促使Niantic和谷歌联合修复的安全事件全过程。
本文探讨了在大型前端平台迁移中如何通过强治理扩展功能标志的使用,包括命名规范、生命周期管理、自动化检查和跨职能协作,以确保敏捷交付的同时维持系统稳定性和可维护性。
本文深入探讨软件测试的核心哲学,比较单元测试、集成测试和端到端测试的优缺点,分析测试的确定性、速度和覆盖范围,并提供关于测试替身(Fakes)使用的实用建议,帮助开发者构建更有效的测试策略。
本文详细披露了CocoaPods中央服务器存在的远程代码执行漏洞,攻击者可通过恶意git参数注入命令,影响所有使用该包管理器的iOS应用。漏洞已修复,文章包含技术细节、利用代码和安全建议。
AWS宣布完成CyberVadis安全评估,在所有评估领域获得最高分(成熟级)。该报告帮助客户简化第三方供应商尽职调查流程,涵盖数据隐私、访问管理等20个网络安全主题,并基于ISO 2700x、NIST等国际标准。
本文介绍了PortSwigger Research新推出的开源Burp Suite扩展SignSaboteur,该工具专为编辑、签名、验证和攻击签名Web令牌而设计,支持多种令牌类型和自动化暴力破解攻击,帮助安全人员发现和利用令牌安全漏洞。
