雖然這篇安全性憑證是什麼鄉民發文沒有被收入到精華區:在安全性憑證是什麼這個話題中,我們另外找到其它相關的精選爆讚文章
在 安全性憑證是什麼產品中有8篇Facebook貼文,粉絲數超過2,850的網紅矽谷牛的耕田筆記,也在其Facebook貼文中提到, Ref: https://security.googleblog.com/2021/06/introducing-slsa-end-to-end-framework.html 今天要探討的是一個由 Google Blog 於上個月所推廣的軟體安全性框架,該框架名為 SLSA,全名則是 Supply...
安全性憑證是什麼 在 矽谷牛的耕田筆記 Facebook 的最佳解答
Ref: https://security.googleblog.com/2021/06/introducing-slsa-end-to-end-framework.html
今天要探討的是一個由 Google Blog 於上個月所推廣的軟體安全性框架,該框架名為 SLSA,全名則是 Supply Chain Levels for Software Artifacts,中文部分我不知道該怎麼翻譯才可以精準達到意思,所以建議就唸英文就好了。
該框架的目的是希望於整個軟體生產鏈中能夠進一步的去提升且確保所有產物的完整性(Integrity 這個詞該怎麼翻呢..)。
文章中用了一個很簡易的流程來清楚的解釋到底何謂 Software Supply Chain 以及整個流程中可能會有什麼問題。
Software Supply Chain 一個範例譬如
1. 開發者撰寫程式碼,並且提交到遠方的 SCM Repository
2. SCM Repo 因為程式碼改變,所以觸發相關的 CI/CD 流程
3. CI/CD 建置結束後則需要打包整個程式碼,產生最後的 Package.
4. 產生後的 Packet 則可以正式上場使用
文章認為上述的流程中有兩個不同類別的安全性問題,分別是
1. Source Integrity
2. Build Integrity.
Source Integrity 這邊主要是針對 Source Code 相關的問題,譬如
1. 開發者是否有意的故意塞入一些會不懷好意的程式碼到 SCM Repo 內。
範例: Linux Hypocrite commits, 之前美國某大學研究團隊基於研究嘗試上傳一些不太好的程式碼而影響的討論風波
2. SCM 的管理平台是否可能被惡意攻擊
範例: PHP 事件: 之前自架的 PHP Git Server 被攻擊者惡意攻擊並且塞入兩筆不懷好意的 Commit
而 Build Integrity 本身則是有更多不同的面向,譬如
1. SCM 觸發 CI/CD 過程是否有可能有問題
範例: Webmin 事件,攻擊者去修改團隊的建置系統去使用沒有被 SCM 所記錄的修改檔案。
2. CI/CD 建置系統本身被攻擊
範例: SolarWinds 事件,攻擊者攻破建置系統去安裝一些軟體來修改整的建置流程
3. CI/CD 建置過程中引用到錯誤的 Dependency
4. 攻擊者上傳一些惡意產物到應該只有 CI/CD 系統才可以存取的場所。
... 等
目前來說, SLSA 還處於非常早期階段,經由業界的共識來思考每個領域有什麼好的措施與指引來避免與偵測系統是否被攻破。其最終目標狀態是希望能夠根據環境自動產生出一套可整合到系統中的產物,並且最後可以給出 SLSA 憑證來給平台或是建置後的 Package。
對 SLSA 這個專案有興趣看看的請參考原始連結,內容不長但是頗有趣的
安全性憑證是什麼 在 純靠北工程師 Facebook 的精選貼文
#純靠北工程師51r
----------
今天上版到Test Server的時候,發現AP Service一直噴DB的Connection Error,我以為是設定檔還是Code哪邊沒調整好,有BUG,整個Code跟設定檔都Code Review了好幾遍,於是把Test Server跟AP Service都重開,還是持續的噴Connection Error。
因上禮拜甲方的設備有進行月維護,想說他們有沒有可能動到什麼相關的安全設定,後來跟甲方的網管確認,他們並沒有調整DB相關的安全性設定。
最後發現BUG在於甲方的系統負責人,把Test Server與Test DB連線的實體防火牆,
憑證註銷了!
憑證註銷了!
憑證註銷了!
P.S. 這台Test Server工作日都會用到,不知道甲方的系統負責人腦洞怎麼開的。
----------
💖 純靠北官方 Discord 歡迎在這找到你的同溫層!
👉 https://discord.gg/tPhnrs2
----------
💖 全平台留言、文章詳細內容
👉 https://init.engineer/cards/show/6543
安全性憑證是什麼 在 Facebook 的精選貼文
繼FTX交易所後,幣安Binance也推出股權通證了,目前可以交易到的美股/ETF有特斯拉、Coinbase、Robinhood、Apple、FB、SPY等等。
股權通證最低0.01股起購,零佣金與電匯費,也就是說,一股750美元的特斯拉,只要7.5美元就可以開始投資。另外像是Pre-ipo或是期貨通證,還可以7天24小時交易。
未來人如果知道股票交易還有休市時間,應該會覺得很奇怪吧。
https://earning.tw/what-is-tokenized-stocks/
小百科:簡單來說,通證可以理解為一種「資產證明」,他可以錨定各類投資品,比如股票、ETF、債券、期貨合約、外匯、金融衍生品甚至是上市前的股票(Pre-IPO)交易,比如在Coinbase、Robinhood上市前,FTX就上線了這些股票的股權通證公投資人交易,為金融市場帶來更高的流動性,為投資人帶來更低的手續費與便利性。
=================
📌幣安Binance介紹:全球最大加密貨幣平台、100多種產品、手續費、平台安全性完整圖解(開戶優惠返現20%):https://earning.tw/what-is-binance/
📌FTX交易所介紹:600種加密貨幣、美股憑證任你買賣、手續費、安全性完整攻略(附開戶優惠)
https://earning.tw/what-is-ftx/
👉Line社群-數位貨幣買下全世界(放貸經驗、交易乾貨、空投、優惠分享)
http://bit.ly/bitcoin-station