VS Code Copilot 提示词注入漏洞分析
译者按:本文基于 GitHub 安全实验室安全研究员 Michael Stepankin 的最新发现,揭示了 VS Code Copilot Chat 扩展中存在的安全漏洞。这些漏洞可能导致本地 Gi
阅读全文应用安全工程师的自我定位指南
注:原文链接我放在文末了,英文不错的朋友可以直接看原文。作者简介Larkins Carvalho - 应用安全工程师作为一名应用安全工程师,Larkins 在快速变化、高度动态的安全环境中工作,Lar
阅读全文AWS re:Inforce 2025 应用安全议题
AWS re:Inforce 2025 将于6月16-18日在费城举办,主要聚焦云安全、合规性、身份管理和隐私保护。从技术议程来看,今年的应用安全(AppSec) track 内容相当丰富,涵盖了从组
阅读全文安全的本质是代码质量
前言在安全领域的多个方向工作了这么多年后,我得出了一个可能会让一些同行不快的认知:安全并不特殊。它不是魔法。它不是一个独立的、神秘的学科,生活在自己的神圣空间里,由神秘的检查清单和莫名其妙的风险评分管
阅读全文Uber的跨云密钥管理解决方案
注学习了一下 Uber 的跨云平台密钥管理方案,简单翻译了一下,英文不错的师傅可以直接翻到文末的原文链接看原文。引言在Uber,该公司运行着超过5,000个微服务、5,000个数据库以及每天超过500
阅读全文超越漏洞修复的安全观
前言前两天休假看到了spaceraccoon的一篇关于网络安全反模式的文章,讲的是无效忙碌陷阱这个概念,说实话挺有意思的。作为一个经常和漏洞打交道的安全工程师,很多内容说到了我的心坎里,花点时间整理一
阅读全文利用微软 OAuth 授权流钓鱼
前言最近安全圈又出了一起针对Microsoft 365的精准钓鱼攻击,搞得各大企业的安全团队都紧张兮兮地排查风险。这事儿比较特别,攻击者没有用传统的恶意软件或钓鱼网站,而是巧妙地滥用了Microsof
阅读全文针对 Coinbase 的供应链攻击
前言最近 GitHub 社区的一场供应链攻击闹得沸沸扬扬(禁止中国区 IP 的事,后面有机会再聊),这事儿搞得大家都紧张兮兮地检查自己的项目依赖。作为一个一直对热点安全事件保持关注的工程师,我当然也第
阅读全文MCP 赋能安全工具的无缝集成
在过去几个月中,模型控制协议(MCP)服务器逐渐受到越来越多的关注,而本周,我们似乎达到了一个关键的转折点。自周日以来,我认识的三个人分别构建了与安全工具交互的 MCP 服务器,其中一位仅用了20分钟
阅读全文MCP 的现状和未来
题外话安全行业很多年没有新叙事了,AI 时代将大量没有受过系统计算机科学训练的伙计引入进来,不仅所有漏洞会被重新实现一遍(参考前端工程师写的后端框架 bushi),新技术的引入还会带来新的安全问题,从
阅读全文Google 内部红队的运营与成长经验
前言红队对于拥有成熟安全团队的组织来说,是一个重要的攻防协同团队。通过模拟真实攻击者的行为,红队能够:防止安全事故缩短防御方的响应时间提升产品、系统乃至整个组织的安全态势通过基于真实威胁情报模拟实际攻
阅读全文写在Google收购Wiz后:云安全的未来
概述本文分析了谷歌收购 Wiz 所带来的影响,特别是对云安全市场未来竞争格局的改变。这篇文章综合了业内各方观点,还结合了与 Wiz 创始人、团队成员以及其他云安全领导企业的深度交流,提供了独特的视角。
阅读全文零信任的现状与未来:从成熟度模型看安全架构的持续演进
概述本文通过零信任架构的成熟度模型,剖析其当前实施进展、核心挑战及长期发展方向,揭示零信任并非终点而是持续进化的安全实践。前言我们在2022年写了这篇文章,当时正是零信任热潮的巅峰时期,RSA展厅的摊
阅读全文企业信息安全能力建设的飞轮框架与可扩展路径
概述通过系统化整合七大飞轮模型(基线控制优化、威胁情报驱动、红队驱动的检测响应等),将孤立的安全实践转化为具备内生增长动力的战略体系,实现安全投入与业务价值的可持续正向循环。转动安全飞轮Jim Col
阅读全文应用安全不仅仅是漏洞
应用安全不仅仅是漏洞,漏洞是驱动应用安全建设的有效抓手。代码天生易错核心理念:以系统可靠性为核心目标,兼顾控制验证与安全保障、安全漏洞治理的双重诉求。应用开发天生具有复杂性。没有不存在漏洞的应用。这些
阅读全文检测工程的前世今生:2025检测工程现状报告
80%企业投入资源在检测工程领域,67%获高层支持,但55%团队受困数据可及性不足,53%存在威胁建模技能缺口。45%启用AI异常检测,93%部署自动化流程,推动67%企业转向定制化行为分析检测,以应
阅读全文安全架构师常见面试题整理
基于多家头部互联网大厂安全架构师面试题的分析和整理,从技术实现(零信任、OWASP、STRIDE)、战略规划(多云架构、威胁建模)到组织协作(合规推演、跨团队影响)三大维度,梳理安全架构师的核心能力要
阅读全文OpenAI 安全负责人深度解析:如何利用系统设计思维打造高效安全团队
OpenAI 安全负责人结合十年实战经验,提出通过系统设计将安全需求融入开发全流程,利用标准化工具与 LLM 提高工作效率,构建既能保障安全又支持业务高速扩展的工程化团队。前言在快速迭代的科技行业,安
阅读全文数据驱动的终端漏洞治理
Canva 通过整合多供应商工具、定义动态 SLA 框架及自动化更新流程,结合数据驱动的风险阈值管理与人工干预协同,实现规模化终端漏洞的高效修复,在保障安全性的同时最小化用户体验干扰。前言Canva
阅读全文CodeQL 企业级应用范式:GitHub 安全建设超大规模代码审计体系剖析
GitHub 通过 CodeQL 实现大规模安全防护,结合自定义查询包、自动化变种分析与提示性告警,构建高效漏洞检测体系,为开发者提供企业级代码安全实践范本。前言GitHub 的产品安全工程团队编写代
阅读全文Linkedin 如何利用大语言模型赋能安全态势平台(SPP)
Linkedin 通过构建 AI 驱动的安全态势平台(SPP),将知识图谱与生成式 AI 深度融合,实现漏洞响应效率提升 150%、资产覆盖率增长 155%,为超十亿用户构建智能防御新范式。前言在 L
阅读全文[已开源] 基于大语言模型的自动化漏洞修复技术实践
本文介绍了如何基于 Patchwork 框架与大语言模型,构建可定制化的自动化代码漏洞修复工具,覆盖静态扫描、漏洞验证、智能补丁生成与代码兼容性检测的完整技术闭环。前言本节将介绍 Patchflow
阅读全文[开源 Prompt] AI 增强的漏洞优先级排序
Databricks 利用 LLM 针对第三方组件漏洞进行优先级排序,准确率达到了85%,安全团队人工分析的工作量减少了超过95%。前言如何针对第三方组件的安全漏洞进行修复的优先级排序是一个行业难题。
阅读全文甲方安全何时需要自研安全产品?安全平台工程团队的价值与落地策略
摘要安全平台工程团队通过构建默认安全的工具链与协作机制,将安全能力无缝融入企业安全建设核心流程中,在降低员工认知负担的同时,规模化解决商业安全产品无法解决的独特安全风险。要点总结团队定位:安全平台工程
阅读全文