Search Results: RCE (150)

    近年來,Kubernetes(k8s)的興起改變了 DevOps 的文化。簡單介紹一下,k8s 是一個整合了開發和應用部署的容器平台。此外,它代表了基礎設施軟件的集大成。因此,它被認為是新一代的革命性虛擬架構。 眾所周知,軟件系統存在的地方就有安全漏洞,比如 CVE(漏洞),以及需要考慮如何增強網絡防火牆規則等問題。在容器平台領域,同樣的問題出現了:持續保護平台和應用的戰鬥。隨著技術越來越自動化,考慮集成組件的漏洞的複雜性也在增加。這不是一次性的過程,而是每天都需要進行維護和修正的任務。 想睇更多專家見解?立即免費訂閱! 有鑑於此,本文介紹了一款名為 Stackrox 的開源安全軟件,這是一款針對容器平台的自動化安全解決方案。它是一個積極的平台,能夠自我保護、預先警告和進行修正。作為一個端到端的容器安全平台,它需要考慮多方面的維護,包括容器平台基礎層的每一個叢集節點、主系統的許多數據包、網絡系統、插件和用戶程序。每個部分都需要持續監控和維護。讓我們深入了解 Stackrox 這個強大的開源軟件的能力。 漏洞管理 在整個軟件開發生命週期中,識別並修復容器映像和 Kubernetes 中的漏洞。 合規性 根據 CIS 標準、NIST、PCI…

    在資訊科技歷史上,九十年代的應用開發急速起飛,從用戶端/伺服器模型、網絡伺服器開發到系統整合架構不斷演進。近十年間,由於蘋果公司領軍,智慧型手機進入了移動世界,促使便攜應用和微服務開發需求急劇增加。與此同時,Kubernetes(k8s)的興起改變了整個開發生態環境。那麼,k8s 功能有甚麼?如何為企業版的 k8s 作出選擇? 想睇更多專家見解?立即免費訂閱! k8s 的崛起 k8s 是一個開源的容器管理平台,幫助開發者充分發揮敏捷開發精神,以及擴展和管理容器化應用程序。擁有內建負載平衡、自我修復和滾動更新等功能,k8s 有助於提升應用程序的可用性和靈活性,實現更快、更可靠的軟件發布。 企業級 k8s 的開源解決方案 市場上有眾多基於 k8s 的開源解決方案,例如 GKE、AKS、EKS、Rancher、OpenShift 等。選擇適合的平台需要多方面的考量和評估。 企業被鎖定方案 許多…

    開源軟件確實為新創科技公司提供了一個有效的方式來節省成本和加速發展,但這也引出了一個重要問題:創新科技企業是否過度依賴開源軟件? 想睇更多專家見解?立即免費訂閱! 在極度競爭的資訊科技界,控制成本毫無疑問是非常重要的。然而,在投身開源生態之前,企業需要了解開源不僅是一種編程方法,而且還涵蓋了合作、共享和透明等多個層面的哲學觀念。這些原則有助於企業更好地適應和利用科技的快速變遷。 市場上有多種開源許可證,例如 GNU General Public License(GPL)、MIT License 和 Apache License 2.0。各類許可證有其特定的規範和限制。需要強調的是,開源不等同於免費。除了可能需支付技術支持和定制版本的費用外,開源軟件也涉及到社群參與和後續維護等方面的考量。 然而,過度依賴開源軟件可能會帶來一些法律上問題,企業需要注意以下幾點: .不遵守開源許可證的規定可能導致侵權,這樣企業可能會面臨法律訴訟。 .如果開源代碼與專有代碼混合在一起,而沒有妥善管理,可能會違反開源許可證,這也是潛在的法律風險。 .開源軟件可能會有未修復的安全漏洞,這不僅是技術問題,也可能引發法律問題,特別是涉及到數據保護和私隱權等等。 .在某些情況下,開源軟件中可能包含第三方的專利或創作權,一不小心使用這些軟件可能會帶來侵權風險。 .即使開源軟件通常是「按原樣」提供,企業仍需要明確了解在何種條件下可用,以及如果出現問題,責任將如何分配。 其次,過度依賴可能會限制創新,因為企業可能變得過於依賴一個特定的技術生態規劃,從而失去多樣性和彈性。第三,不是所有開源項目都有活躍的社群和持續的維護,這可能會對企業的長期發展構成風險。…

    近年來,DevOps Engineer 的職位新興而起,受到眾多人們的關注和討論,薪金往往高於一般的工程師。這種新型的職位之所以能引起如此廣泛的關注,其中一個關鍵原因是企業需求的轉變。企業期望通過實施 DevOps 提高軟件開發的效率,進一步縮短產品上市的時間,並確保產品的質量和可靠性。對於此類職位,企業通常期待應聘者不僅熟悉各種開發和運營工具,還具有一定的項目管理能力和良好的溝通協調能力。 想睇更多專家見解?立即免費訂閱! 在 DevOps 實踐中,我們可以看到眾多開源工具的廣泛應用,例如,OKD、Ansible、Foreman 和 Project Quay。OKD 是一個開源的Kubernetes發行版,它提供了一個平台,讓開發者可以更方便地構建、部署和管理容器化的應用程序。Ansible 是一個開源的 IT 自動化工具,它能夠幫助企業自動化應用程序的部署、實現配置管理和協調各種工作流。Foreman 則是一個開源的 IT 基礎設施管理工具,它可以幫助企業管理系統的生命周期,包括虛擬機、物理服務器和雲端服務器。Project Quay…

    Synopsys Black Duck 用於管理在應用程式和容器中使用的 open source 所產生的安全性、許可合規性和代碼質量的風險。 Black Duck 被 Forrester 評為軟件組合分析 (software composition analysis, SCA) 領域的領導者,提供第三方代碼可見性,能用於整個軟件供應鏈和整個應用程式生命週期。 Black Duck 結合多功能開源風險管理與深度二進制檢查,提供出色的…

    繼之前連環公開 Nvidia、Samsung 等公司部分技術的源始碼,Lapsus$ 的最新受害者是 IT 龍頭公司 Microsoft。據知相關應用服務包括搜尋引擎 Bing、Bing Maps 及智能個人助理 Cortana。Microsoft 快速回應被入侵事件,更反過來公開對方的入侵手段及技術,希望能避免再出現受害者。 隨著勒索軟件 REvil、Darkside 被執法機構高調打擊,其他勒索集團的行動都趨向低調,以避免成為下一個打擊目標。唯獨 Lapsus$ 例外,由二月至今已不停高調公開入侵個案,特別是對方如沒有在限期前交贖款,Lapsus$ 便會毫不客氣直接披露部分敏感資料,例如 Nvidia 用於監測顯示卡挖礦活動的…

    知名汽車品牌 Mercedes- Benz USA 早前披露一宗影響 160 萬條紀錄洩露事件,數據包括財務資料、SSN(Social Security Number)、客戶姓名、地址、電子郵件、電話號碼和購買車輛資料等,受影響人士包括部分客戶和潛在買車客戶。這些數據為 2014 年至 2017 年間,曾向 Mercedes- Benz USA 和經銷商網站提供個人資料的人士,預料不到 1,000 名受影響的客戶和潛在買家受影響。 該公司於…

    知名汽車品牌 Mercedes- Benz USA 早前披露一宗影響 160 萬條紀錄洩露事件,數據包括財務資料、SSN(Social Security Number)、客戶姓名、地址、電子郵件、電話號碼和購買車輛資料等,受影響人士包括部分客戶和潛在買車客戶。這些數據為 2014 年至 2017 年間,曾向 Mercedes- Benz USA 和經銷商網站提供個人資料的人士,預料不到 1,000 名受影響的客戶和潛在買家受影響。 該公司於…

    SolarWinds 事件繼續發酵,Microsoft 最新公布,黑客通過提升內部網絡的帳戶權限,成功登入其他帳戶,令他們可以接觸 Microsoft 其他產品的原始碼 (source code)。不過 Microsoft 稱對其產品及客戶不會有大影響。 上月 Solarwinds 的 Orion Platform 被黑客入侵,將載有木馬程式的編碼滲透到更新檔案內,並透過自動更新功能擴大感染範圍,Microsoft、FireEye、Cisco、Intel、VMware 等企業同受牽連。在各企業的內部調查進行期間,Microsoft 進一步偵測到內部網絡有不尋常活動,發現其中一個帳戶曾多次查閱原始碼倉庫 (repositories) 內存放的原始碼。 Microsoft…