龍?zhí)墩南到y(tǒng)：祿豐政府機關oa中sonarqube漏洞導致源碼泄漏，開源網(wǎng)安代碼審核平臺實現(xiàn)國產(chǎn)化替代在日常工作中面臨著大量的文件處理、信息共享與協(xié)作的挑戰(zhàn)。為了提高政務效率、加強信息安全，政府電子政務oa系統(tǒng)應運而生。本文將探討世 isite 服務器，竊取了 5g 物聯(lián)網(wǎng)連接平臺的源碼； 在這里插入圖片描述 10月23日，黑客聲稱已經(jīng)拿到國家疾控中心 his 源代碼； 10月25日，黑客聲稱拿到奔馳中國部分源代碼； 10月26日，黑客更是聲稱公開了公安系統(tǒng)的醫(yī)療、保險、人事的 src 源代碼； 在這里插入圖片描述 在這里插入圖片描述 在這里插入圖片描述 黑客透露是通過 0day 漏洞從 sonarqube 服務器獲取了關鍵信息，目前暫不清楚黑客


ai能干什么壞事？26位技術專家眼里的可怕未來 | 報告:

報告里，描述了這樣一個假想場景：有一位大廈安全系統(tǒng)管理員jackie，上班的時候嘛，誰都難免刷刷微信上上微博，歪果仁嘛，就難免要看幾眼facebook。 自主發(fā)現(xiàn)軟件漏洞的技術，其實已經(jīng)存在了，不少大公司、政府機構(gòu)都利用這類技術來維護自身軟件系統(tǒng)的安全。 6月3日，潛入進來的清掃機器人和往常一樣，打掃著財政部的辦公樓。這時，財政部長從它身邊走過。sweepbot附帶的人臉識別系統(tǒng)一下子就認出了它，也激活了接下來的任務。撲向他，引爆內(nèi)置的炸彈。 報告中講了這樣一個“社會活動家”鋃鐺入獄的故事：avinash對于這個社會很是不滿：到處是黑客，政府也不管。他在關心時事，看到了太多大公司為富不仁、政府無所作為的新聞，也寫了不少抨擊時政的博客。 剛下單沒多久，警察把他從辦公室?guī)ё吡?，罪名是他們的“社會動蕩預測系統(tǒng)”認為他是潛在威脅。當然，這個故事可能還有另一面。avinash看到的那些新聞，雖然看起來有理有據(jù)，卻還是有真有假。

馬克龍宣布15億歐元投資ai，deepmind擁吻巴黎:

deepmind巴黎實驗室，會在remi此前豐盛的科研成果基礎上，持續(xù)關注ai基礎研究。不論是讓ai系統(tǒng)學習執(zhí)行多種任務的尖端方式，還是分布式強化學習等基礎算法上的突破，都是他們發(fā)力的方向。 巴黎的科學底蘊畢竟，許多在世界人工智能領域有所成就的研究機構(gòu)，總部都位于巴黎。 馬克龍的“萬有引力”一樣是在昨天，法國總統(tǒng)馬克龍在演講中宣布，將啟動關于人工智能的一項重要舉措，吸引ai領域的攻城獅和科學家在這個國家開展自己的事業(yè)。? 到2022年，政府將會投入15億歐元 (約合人民幣116億元) ，來推進ai行業(yè)的發(fā)展。他們希望，法國有一天可以在ai領域與美國和中國抗衡。 而自其執(zhí)政以來，許多海外科技公司因為法國優(yōu)渥的土壤，而選擇在那里建立ai中心。

物聯(lián)網(wǎng)智慧養(yǎng)老 玄武給出樣本——建平臺虛擬運營養(yǎng)老院，全區(qū)養(yǎng)老相關資源共享:

昨天，記者來到玄武區(qū)民政局，據(jù)了解，早在去年6月份，玄武區(qū)養(yǎng)老服務中心，就成立了江蘇省首個區(qū)級居家社區(qū)養(yǎng)老服務一體化。 10分鐘居家養(yǎng)老服務圈記者從玄武區(qū)民政部門了解到，玄武區(qū)常住人口65萬，其中60歲以上老年人口約10萬人，80歲以上老年人17787人。 據(jù)悉，索酷公司提供的智慧管理平臺，以機構(gòu)事務管理為基礎，以醫(yī)療管理服務系統(tǒng)為支撐，集醫(yī)療、康復、養(yǎng)生、養(yǎng)老為一體，建設養(yǎng)老管理服務系統(tǒng)，使醫(yī)療資源與養(yǎng)老資源相結(jié)合，實現(xiàn)社會資源利用的最大化。? 方便的服務被市民點贊昨天上午，記者和上海的“參觀學習團”一起還來到了玄武區(qū)孝陵衛(wèi)的愛孝親和家園養(yǎng)老服務中心，在服務中心記者見到，有很多前來居家養(yǎng)老的老年人都坐在一個被老人們稱為“科技理療區(qū)”的地方，聚集在像課桌一樣的足浴桶前 記者了解到，這里的智能系統(tǒng)也來自索酷公司，可以將現(xiàn)場的視頻上傳到中心，以達到實時的監(jiān)控。（愛南京·南京晨報記者 仲永 胡亮）玄武區(qū)建立了養(yǎng)老大數(shù)據(jù)地圖。為老人們配備的能與互聯(lián)網(wǎng)相連的產(chǎn)品。

多旋翼無人機入門原理:

最好是參加飛手正規(guī)培訓，系統(tǒng)地學習無人機的基礎知識，培訓學什么，考試考什么，接下來針對這些準備了簡潔易懂的解答。1、什么是無人機？ 無人機是一種由無線電遙控設備或自身程序控制裝置操縱的無人駕駛飛行器。 航空攝影、貨物運輸、政府民生、石油勘測、遙感航測。8、多旋翼運用領域： 城市管理、農(nóng)業(yè)、地質(zhì)、氣象、電力、電力巡檢、搶險救災、視頻拍攝等行業(yè)。9、直升機運用領域？ 通過搭載云臺與拍攝系統(tǒng)，進行第一人稱視角的飛行。12、無人機起飛之前應該注意哪些檢查？ 對飛機的檢查：部件的銜接是否牢靠，布線是否安全，機載設備是否工作正常 對地面的檢查：地面通訊、操作系統(tǒng)工作是否正常； 對環(huán)境的檢查：周圍環(huán)境是否適合作業(yè)及起降場地是否合理，空域有無申報。 （1）.無人機概述與系統(tǒng)組成 （2）.民航法規(guī)與術語 （3）.空域的飛行與申報 （4）.航空氣象與飛行環(huán)境 （6）.無人機構(gòu)造 （7）.飛行原理與性能 （8）.通信鏈路與任務規(guī)劃 （9）.所使用的無人機系統(tǒng)特性

龍?zhí)墩南到y(tǒng)：祿豐政府機關oa中sonarqube漏洞導致源碼泄漏，開源網(wǎng)安代碼審核平臺實現(xiàn)國產(chǎn)化替代

的應用，旨在為政府部門提供有關電子政務oa系統(tǒng)的全面了解與參考。一、政府電子政務oa系統(tǒng)的定義 政府電子政務oa系統(tǒng)，全稱office automation software，是一種專為政府部門開發(fā)的辦公自動化軟件。它通過整合各類辦公工具，如文檔處理、電子郵件、日程安排、會議管理等，提供了高效的信息處理、共享與協(xié)作平臺。二、政府電子政務oa系統(tǒng)的優(yōu)勢提升政務效率：政府電子政務oa系統(tǒng)將傳統(tǒng)的紙質(zhì)文件轉(zhuǎn)化為電子文檔，實現(xiàn)了信息的快速檢索與共享。政府工作人員可以通過電子政務oa系統(tǒng)快速創(chuàng)建、編輯、傳輸與存儲文件，大大縮短了文件處理時間，提高了工作效率。促進信息共享與協(xié)作：政府電子政務oa系統(tǒng)建立了一個統(tǒng)一的信息平臺，實現(xiàn)了政府內(nèi)部各部門之間的信息共享與協(xié)作。不同部門可以通過電子政務oa系統(tǒng)共享文件、通訊錄、日程安排等信息，提高了政府工作的協(xié)同效率。強化信息安摘要 sonarqube被黑客攻破，是時候選擇可靠的國產(chǎn)軟件替代，開源網(wǎng)安codesec完全替代國外源代碼掃描產(chǎn)品。 開源的代碼質(zhì)量管理平臺 sonarqube 日前被黑客攻破，使得很多公司和機構(gòu)開始緊急排查其設備或系統(tǒng)是否集成了 sonarqube，其中不乏一些國家機關單位，這次算得上是今年又一起影響較大的開源軟件供應鏈攻擊事件。 sonarqube 事件回溯 10月20日，黑客入侵了知名企業(yè)博世 isite 服務器，竊取了 5g 物聯(lián)網(wǎng)連接平臺的源碼； 在這里插入圖片描述 10月23日，黑客聲稱已經(jīng)拿到國家疾控中心 his 源代碼； 10月25日，黑客聲稱拿到奔馳中國部分源代碼； 10月26日，黑客更是聲稱公開了公安系統(tǒng)的醫(yī)療、保險、人事的 src 源代碼； 在這里插入圖片描述 在這里插入圖片描述 在這里插入圖片描述 黑客透露是通過 0day 漏洞從 sonarqube 服務器獲取了關鍵信息，目前暫不清楚黑客還入侵了哪些單位，但是任何使用了 sonarqube 的單位都應該做好管控源碼服務器的安全工作，盡快離線 sonarqube 服務器，修改相應的包括但不限于 svn、gitlab 等賬號密碼。 早在2020年7月，美國媒體 bleepingcomputer 已有報道：瑞士安全研究員tillie kottmann 通過 sonarqube 的漏洞獲取了50多家知名企業(yè)的源代碼，其中包括微軟、adobe、聯(lián)想、高通、摩托羅拉、amd等大廠，并在 gitlab 公開庫中發(fā)布出來。 高危漏洞：sonarqube 未授權訪問 sonarqube 是一種開源的代碼質(zhì)量管理平臺，可以集成不同的測試工具、代碼分析工具以及持續(xù)集成工具。通過不同的插件對分析結(jié)果進行再加工處理，通過量化的方式度量代碼質(zhì)量的變化，并將結(jié)果展現(xiàn)到 sonarqube 可視化界面。 sonarqube 系統(tǒng)存在未授權訪問漏洞，缺少對 api 接口訪問的鑒權控制。該漏洞是由于 sonarqube 系統(tǒng)配置不當，導致平臺項目暴露在公網(wǎng)當中，攻擊者利用該漏洞在未授權的情況下訪問公網(wǎng) api 接口，使用系統(tǒng)默認配置口令進入平臺，下載源代碼文件，獲取系統(tǒng)敏感信息。 cnvd 將該漏洞的危害級別評為“高?！保壳霸撀┒?（cnvd-2021-84502）已被收錄進了國家信息安全漏洞共享平臺（cnvd）。 替代 sonarqube 成必然 去年的事件顯然沒有在國內(nèi)引起關注，也沒有針對該漏洞進行及時的防范，才所導致了此次開源軟件供應鏈攻擊。 為什么這次 sonarqube 事件對國家信息安全的威脅巨大？原因是國內(nèi)使用 sonarqube 進行軟件開發(fā)的公司和機構(gòu)非常多。通過采招網(wǎng)等招投標網(wǎng)站查詢，發(fā)現(xiàn)招標采購內(nèi)容中包含 sonarqube 的項目很多。 比如：廣西衛(wèi)生監(jiān)控數(shù)據(jù)中臺建設招標、貴陽銀行信息科技管理平臺一起建設項目、銀聯(lián)商務代碼質(zhì)量管理工具、河北醫(yī)療保障局開發(fā)運維一體化平臺、北京航空航天大學計算機學院項目、廣東電網(wǎng)有限責任公司項目、工信部電子五所一體化研發(fā)仿真環(huán)境采購項目、中信銀行內(nèi)控合規(guī)一體化管理平臺建設項目、北京海關總署新一代海關通關管理系統(tǒng)、上海銀行質(zhì)量服務平臺和分布式支撐服務項目、中國科學院信息工程研究所源代碼安全掃描軟件項目、華泰證券軟件產(chǎn)品采購項目、上?？萍夹畔⒐芾砥脚_項目、中國太平洋保險（集團）制品庫軟件、湖南省稅務局應用系統(tǒng)運維巡檢與審查系統(tǒng)等都涉及 sonarqube 采購和應用。 這次攻擊迫使國內(nèi)很多機構(gòu)的項目急尋可替代 sonarqube 的產(chǎn)品，應用存在漏洞的開源軟件顯然成為了威脅公司安全的重大隱患，對于機關單位來說更是成為了危害國家信息安全的毒瘤。 開源軟件 vs 商業(yè)化軟件 除了 sonarqube 之外，具有代碼審核功能的開源軟件還有 findbugs 的 sec 版、cobra 等，雖然它們以免費、輕量、便捷等優(yōu)點吸引了大批用戶，但直接使用開源軟件做集成和開發(fā)，是遠遠達不到商業(yè)開發(fā)項目要求的安全標準。檢測嚴重的代碼缺陷問題覆蓋度不夠，且漏洞誤報率高，和商業(yè)產(chǎn)品完全不在一個量級上，更不用說支持特定的語言、框架等功能。如果希望更安全地使用開源軟件，需要投入更多的人力去為其做定制化開發(fā)或貢獻開源代碼，這顯然對很多公司和人員要求過高了。 從另一方面來看，代碼審核工具本身作為安全類軟件，目的是保障研發(fā)階段的代碼安全，而在不成熟的軟件供應鏈體系下，為求免費便捷而直接使用開源的代碼審核工具，既不能保障軟件自身的安全，更不能保障軟件供應鏈的安全。 而商業(yè)化的代碼審核工具，經(jīng)過專業(yè)的安全人員和開發(fā)人員的多年打磨，產(chǎn)品已經(jīng)相對成熟，符合國家和行業(yè)的安全開發(fā)要求，漏洞庫全面、服務支持力度強并且輸出可讀性高的檢測報告和代碼級的漏洞修復報告。 國家對于信息安全的要求日益嚴格，將國外開源軟件替換成國產(chǎn)自主研發(fā)的軟件并應用到關鍵系統(tǒng)上，已成為亟待解決的重要任務，更是保護國家信息安全的重要措施。 然而，國產(chǎn)軟件是否有能力承接這項任務，還需要對國產(chǎn)軟件公司的實力進行對比。在國家政策和國際安全形勢的驅(qū)動下，很多國產(chǎn)軟件公司借勢而起，尤其是在同類可選產(chǎn)品眾多的情況下，如何選擇可靠的國產(chǎn)軟件也成為了一項難題。 面對同類產(chǎn)品的選擇，既要對比功能、性能、價格等條件，也要深入考量國產(chǎn)軟件公司的服務支持能力，甚至考慮其是否應用了安全開發(fā)流程，來保障軟件自身安全。 開源網(wǎng)安 codesec 代碼審核平臺 開源網(wǎng)安完全擁有“自主知識產(chǎn)權”，十年磨一劍，專注“軟件安全”行業(yè)，其主要產(chǎn)品 codesec 代碼審核平臺是全新一代靜態(tài)應用安全測試（sast）解決方案，主要用于軟件代碼安全審核和質(zhì)量分析，提供漏洞詳情和修復方案，不但可替代 sonarqube 的代碼審核能力，還具備更出色的功能亮點： 更安全的代碼審核工具，開源網(wǎng)安擁有多年的 s-sdlc 的實施經(jīng)驗并且完全應用在自身產(chǎn)品上，使得 codesec 相比于同類產(chǎn)品更加安全可靠。 代碼掃描更準確更高效，誤報率遠低于國產(chǎn)同類產(chǎn)品，支持多引擎分布式部署，并行掃描無上限； 強大的擴展性和易用性，支持多種掃描方式并集成其他掃描引擎，更可以無縫對接各類 devops 平臺和缺陷管理平臺； 優(yōu)秀的安全檢測能力，不但支持第三方漏洞庫掃描，而且具備開源組件檢測（sca）能力，為軟件供應鏈安全進一步提升保障； 去專業(yè)化描述更適合國內(nèi)開發(fā)人員，快速定位漏洞問題并給予代碼級修復方案，描述符合開發(fā)人員思路，更易于理解； 提供完整的 cwasp 開發(fā)安全認證培訓，開源網(wǎng)安的核心自研課程，全方位提升開發(fā)人員的“安全開發(fā)”意識。 codesec 依托開源網(wǎng)安強大的產(chǎn)品交付和安全服務能力，為客戶提供多維度、專業(yè)化的原廠技術支持，成功案例遍及金融、通信、能源、測評機構(gòu)等行業(yè)。

你手中的代碼，可能變成他們的子彈:

by 超神經(jīng)今天在新加坡進行的朝美會談，美國總統(tǒng)特朗普與朝鮮最高領導人金正恩進行歷史性會晤并簽署文件。近期的國際局勢，真的會因為今天的歷史性握手，而太平么？ 34 歲的金正恩與 72 歲的特朗普，代表敵對了近 70 年的朝鮮與美國，在新加坡嘉佩樂酒店，把手握在了一起，時間大約 13 秒。? 朝鮮近年的核計劃、美軍主動攻勢、俄羅斯和中國的旁觀防守態(tài)度，國際局的勢風云詭譎，都讓整個世界陷入階段性焦慮。 今天刷屏的「白頭山天降偉人」偉大領袖金正恩將軍所領導的朝鮮，在人才競賽上就比較尷尬了，本來國內(nèi)能成為大學的學校就屈指可數(shù)。而計算機科學領域，也就金策工業(yè)綜合大學能拿得出手，可以說人才匱乏。? project maven 這個項目，最早是由內(nèi)部員工爆料，當時 google 正通過一家私密的中間公司為美國軍方提供 ai 方面的知識和技術支持，幫助美軍發(fā)展無人機 ai 系統(tǒng)，并允許軍方使用 google

人民日報推文：歡迎google重返中國大陸，但必須遵守中國法律:

大數(shù)據(jù)文摘編輯部作品谷歌返華事件終于有了官方回應。 人民日報昨日也在facebook上發(fā)布了評論文章表態(tài)歡迎，這意味著至少在政策層面，中國政府是歡迎谷歌入華。但是大陸本土的搜索引擎市場一直被互聯(lián)網(wǎng)巨頭百度所占據(jù)，谷歌的回歸是否能夠打破這一格局？ 美國媒體紐約時報在上周也發(fā)文表示，谷歌的多個工程師團隊正在開發(fā)一種搜索應用程序，能夠限制被北京禁止的內(nèi)容，并且，谷歌已經(jīng)向中國官員展示了這項服務。 盡管這一消息尚未得到證實，但許多西方媒體、美國政界人士和人權活動人士很快對該公司嗤之以鼻，指責其屈服于中國的審查制度，并譴責其舉動是打了互聯(lián)網(wǎng)自由的一記響亮的耳光。 推文中，人民日報認為谷歌有決心和信心在如此龐大的市場中重新站穩(wěn)腳跟。并且，對外開放是中國社會的共識，也是中國人民的一個基本認識，因此這也加強了谷歌想要重返中國的想法。

04 | 身份認證：除了賬號密碼，我們還能怎么做身份認證？:

基于你之前提出的“黃金法則”，面試官問道：“黃金法則的認證（authentication）部分不就是賬號密碼嗎？這么簡單的東西，有必要考慮得那么復雜嗎？” 首先，身份認證不僅僅是一個輸入賬號密碼的登錄頁面而已，應用的各個部分都需要涉及身份認證。在我看來，身份認證可以分為兩個部分：對外認證和對內(nèi)認證。 ▌身份認證的安全怎么保證？ 在了解了身份認證環(huán)節(jié)會面臨的各種威脅，以及這些威脅可能產(chǎn)生的影響之后，你可能要問了，我們應該怎么解除這些威脅呢？ jwt 適用范圍廣，在單點登錄的選取上面，如果想要將用戶信息做統(tǒng)一管理，選擇它最為簡單；如果認證中心只是被用來維護賬號密碼，由業(yè)務去維護用戶所綁定的其他手機等信息，那么，采用 oauth 更合適。 ▌思考題 好了，學習了今天的內(nèi)容，你現(xiàn)在可以來思考一下面試官的問題：怎么做好認證？ 這里我先給你提供一個思路。首先，你需要告訴面試官，公司目前存在哪些認證問題。

捷報! 騰訊云 tstack 斬獲 2017 openstack superuser 大獎:

同時，騰訊公司宣布加入openstack基金會，成為其黃金會員，全力支持開放源代碼云計算平臺的開發(fā)。 ▲騰訊云tstack團隊上臺領獎 openstack基金會是一家旨在推動openstack云操作系統(tǒng)在全球發(fā)展、傳播的非盈利組織，成立于2012年。 該基金會目標是在全球范圍內(nèi)服務開發(fā)者、用戶及整個生態(tài)系統(tǒng)，為其提供共享資源，以擴大openstack公有云和專有云的成長，從而幫助技術廠商選擇平臺，助力開發(fā)者開發(fā)出行業(yè)最佳的云軟件。 作為騰訊“互聯(lián)網(wǎng)+”戰(zhàn)略的重要平臺和技術開放總出口，騰訊云已將tstack平臺以及運營服務經(jīng)驗推廣到中國政企市場，并與全國15多個省、50多個城市簽署合作協(xié)議，為包括四川省政務云、廣東省政務云、云南公安廳警務云等在內(nèi)的各級政府和企業(yè)構(gòu)建基于 在今年9月于廈門舉行的金磚國家會議上，騰訊云部署了基于openstack構(gòu)建的政務云，并與騰訊云安全團隊共同為會晤期間的云上安全保駕護航，獲得廈門政府的熱情點贊。

轉(zhuǎn)載請注明出處,本站網(wǎng)址：http://www.wikihumidifier.com/news_1704.html