20190818笔记

对v2ex/flyerTea/hostloc的抓爬结果:

简言：我在你的供应链里，你可能在我的。我们日益互联的基础设施使我们所有人随着数以亿计的设备和数百万企业投资云计算，我们每天都会看到复杂的攻击。硬件，软件和基于服务的攻击，与供应商和合作伙伴的良好和不良交往 - 我们已经看到了这一切。走到幕后，了解以前未公开的供应链攻击 - 从对手的技术和目标，有效削弱攻击的机制，以及处理我们最复杂的资产来保护……开发人员的有时可笑的挑战。这是一个统计上的确定性，每个人最终都会成为供应链妥协的受害者。无论您是在SecOps还是应用程序开发中，您都会在本演示文稿中提供有关如何抵御供应链攻击和强化系统的实用指南。预防很重要，但是当你获得所有权时你的回应是对品格的真正考验。你准备好挑战了吗？

您的赏金计划已经启动并且正在点击…但是一旦最初的兴奋消退，您是否获得了最佳结果？您如何衡量和报告计划成功？您如何构建导致高价值漏洞报告的游戏化和激励模型，同时阻止低影响报告分散您的工程师的注意力，使其免受客户风险的影响？虽然每个人都希望永远不需要它，但处理冲突或漏洞披露情况的手册是什么？

冲突：随着安全性“向左移”到DevSecOps中，跟上快速发展的Web技术及其带来的威胁，比以往任何时候都更加困难。虽然熟悉的漏洞类别继续困扰我们的应用程序，例如XSS和SQL注入攻击，但许多框架正在采用自动防御来防止常见的滥用案例。同时，由于开发人员的工作被从这些安全决策中抽象出来，因此可能更容易忽视剩余的失败点。
为了使我们的应用程序在开发人员每天多次部署和提交生产代码的世界中保持安全，我们需要每个软件工程师精通并掌握与其特定语言和框架相关的安全编码技术。应用程序安全方面的教育很难，通过过时的视频和幻灯片显示被动的基于合规的培训的日子无法跟上。与此同时，传统的网络安全与现代appsec几乎没有关系，开发人员经常将安全团队视为惩罚性功能和（非）必要的恶意。
除了依靠像OWASP Top 10这样的缓慢更新措施来指导我们之外，我们必须找到更好的方法来分享团队内和整个行业的appsec知识。为此，Duo和Hunter2合作提供了一组可以在开发团队之间共享的免费培训资源，包括交互式培训实验室，允许工程师在他们选择的堆栈中练习利用和修补现代Web应用程序。我们还将此平台打开到社区，以便与会者可以发布他们自己的实验室，以展示特定的漏洞和补救示例。