#华为云12·12#全场DevOps与中间件服务3折起，新用户1.98元起，老用户续订7折起！-Redis、Kafka、RabbitMQ、RocketMQ等低至5.5折，3年5折！-数字资产链7折起，区块链新客试用19.8元起！-软件开发生产线CodeArts，新客试用1.98元起！-漏洞扫描、二进制成分分析、APP合规检测6.6折起！下单抽FreeBuds无线耳机！戳连接：http://t.cn/A6a7JhLQ活动有效期至2022年12月31日，上云正当时！>点击这里，马上进入活动专场<

【摘要】 CGS可扫描SWR中的私有镜像，自动检测镜像的安全问题并提供漏洞报告和解决方案，助您在容器构建开发阶段就得到安全可信的镜像文件。镜像是容器运行的基础，在容器的构建开发阶段，镜像一旦存在漏洞，就有可能导致在后续运行环境里面所有运行这个镜像的容器都存在安全问题。例如，镜像中的软件存在漏洞、镜像存在病毒后门，就可能导致容器被不法分子控制利用，从而导致容器中的敏感信息被泄露、整个系统沦陷等风险。那么，如何在构建开发阶段排查镜像的安全性呢？华为云容器安全服务（Container Guard Servic，CGS）的私有镜像漏洞扫描功能帮助您解决这个困扰，让您在容器构建开发阶段就能发现镜像的安全问题，得到一个安全可靠的镜像文件，避免使用危险镜像进行开发。目前，私有镜像扫描功能支持对基于Linux操作系统制作的容器镜像进行检测，且是免费的哦~~还没有开通CGS的用户来体验本节课程的操作？戳这里，了解开通CGS。玩转CGS私有镜像安全扫描CGS支持对容器镜像服务（Software Repository for Container，SWR）中的自有镜像进行检测。将自有镜像上传至SWR，然后更新到CGS后，CGS即可在每日凌晨自动检测更新的镜像。检测完成后，您就可以查看漏洞报告和根据提供的解决方案对镜像进行修复和调整。现在教大家一个口诀，“一更二查三修复”，完成这三个步骤，您就能得到一个安全可靠的镜像文件啦~~【一更】从SWR更新镜像若SWR镜像已更新到CGS，您可以跳过此步骤，直接查看镜像版本的漏洞报告。步骤1：登录管理控制台。步骤2：在页面上方选择区域后，单击，选择“安全 > 容器安全服务”。步骤3： 在左侧导航树中，选择“镜像列表”，进入“镜像列表”界面。步骤4：选择“私有镜像仓库”页签。步骤5： 单击“从SWR更新镜像”，更新镜像到CGS私有镜像仓库。CGS对镜像进行检测需要一段时间，百兆级的镜像，大概需要10分钟左右，扫描耗时随镜像的规模增大而延长。请您过一段时间在进行刷新查看哦~~ 【二查】查看镜像版本的漏洞报告步骤1：自动检测完成后，在需要查看漏洞报告的镜像左侧，单击展开该镜像的版本列表，然后单击“漏洞报告”，查看该镜像各个版本的漏洞报告。步骤2：漏洞报告按照“需尽快修复”、“可延后修复”、“暂可不修复”三个漏洞等级汇总漏洞信息，并且展示了漏洞的具体信息以及相应的漏洞解决方案。小窍门对于漏洞的修复或调整，您可以根据自身业务情况进行选择性修复，对系统影响较小的镜像，可不进行修复【三修复】对镜像进行修复或调整单击解决方案列的链接，根据解决方案对该镜像版本进行修复和调整。修复和调整后，您就可以得到一个安全可信的镜像啦~~对于私有镜像，CGS还提供了恶意文件、基线配置、软件信息和文件信息的检测，有没有很心动，赶紧戳它了解详情吧~~更多关于CGS的功能，戳这里安全无小事，时刻需警惕。2020，华为云普惠云安全，为您的网站、主机、数据提供免费云体检，还有一站式过等保贴心指导，赶紧戳这里，了解详情吧！

在使用漏洞扫描工具之前先查阅了华为云DevOps的相关资料，我了解到到DevOps 的本质，DevOps从本质来讲只是倡导开发运维一体化的理念（MindSet）。这个理念的提出是为了解决很多企业面临的转型挑战，也就是将业务数字化，并且缩短数字化业务上线的周期，快速试错，快速占领市场。DevOps并没有改变固有的软件生命周期：需求，设计，开发，测试，交付。但伴随着基础设施，软件设计方法等的改变，软件开发的思路，或者方式产生了比较大的变化。DevOps带来的最大好处是，软件生命周期数据链路的打通这不仅仅是运维和开发的结合。从顶层视角看，这是业务和生产的紧密结合。以前从业务和开发是脱节的。想要查看需求的实现进度，需要大量的人工汇报，更别提运营了。而现在以一个微服务实现一个特性的粒度来看，可以从需求，开发，测试，部署一直追溯到这个特性运营情况。这也是DevOps成为数字化企业基因的原因，业务和生产实现了完美的结合。从敏捷实践的角度来讲，你会发现开发组织中参与者好似生物体中的神经元，大家各司其职，自成一体，接受反馈，并向外主动反馈。团队的自组织使得工作更加自然，能产生更大的效能。由以前的项目经理驱动，改为自我驱动的协作方式。每个人都可以给相关的团队以及责任人提需求，大家有机的协调在一起。天津市大学软件学院魏家豪 

按照实验指导书完成DevStar增值税发票文字识别应用体验按照实验指导书完成VSS漏洞扫描产品体验二进制，根据指导对这些项目有了一些了解，也懂得了基础操作。

- News -1.俄罗斯黑客对奥地利、爱沙尼亚进行侦察https://www.bleepingcomputer.com/news/security/russian-hackers-perform-reconnaissance-against-austria-estonia/?&web_view=true2.伪造沙特阿拉伯一石油供应商发布采购订单的电子钓鱼邮件中带有GuLoader的可执行文件https://www.fortinet.com/blog/threat-research/spoofed-saudi-purchase-order-drops-guloader?&web_view=true3.勒索软件在 2021 年主导了威胁格局https://www.techtarget.com/searchsecurity/news/252520585/Verizon-DBIR-Ransomware-dominated-threat-landscape?&web_view=true4.通用汽车遭撞库攻击被暴露车主个人信息https://www.freebuf.com/news/334080.html5.支付巨头PayPal曝大漏洞，黑客可直接窃取用户资金https://www.freebuf.com/news/334074.html6.俄罗斯拥有可操纵社交媒体趋势的强大僵尸网络https://www.secrss.com/articles/427397.国际刑警组织：国家网络武器将很快在暗网上出现https://www.secrss.com/articles/427408.俄最大银行遭到最严重DDoS攻击，普京称正经历“信息空间战争”https://mp.weixin.qq.com/s/6yzsgh6yXJqKdNjn4mJBZQ9.朝鲜黑客组织Lazarus利用Log4J攻击VMware服务器长达数月之久https://mp.weixin.qq.com/s/rjiTAdX98QPaezIIOpCfbg10.警惕！强制渗透测试式勒索攻击--新的“勒索之家”组织创立了新勒索市场并公布了第一批受害者https://mp.weixin.qq.com/s/LZpq41jVK-r750tBYzDXDA

1.我首先自己在非官方下载了可能有风险的应用，应用截图如下：一般下载软件都是在官方下载，但是有些时候一些软件可能找不到官网，这时我们可能就会在非官方页面下载有风险的应用，我下载的宙斯浏览器就是这样的情况，对于可能有风险的应用，我使用华为提供的华为云VSS移动应用安全服务对该应用进行了安全检查，检查结果如下：检测用时非常短，只有不到2毫秒的时间就出结果了，而结果也如我所料，该应用确实存在风险：可以看到该应用存在1个高危风险，39个中危风险，61个低危风险，华为的移动应用安全检测服务可以将这些风险漏洞检测出来，并且提供详细信息，详细信息如下：华为的移动应用安全服务不仅检测出了这些漏洞，并且提供了漏洞的详细信息，说明检测服务还是非常给力的，对于普通用户来说，如果怀疑某个应用有风险，可以将该应用提交给华为移动安全检测服务进行检测，根据检测结果来判断是否安装该应用，对于开发者来说，可以根据检测结果对应用进行漏洞修复。华为云VSS移动应用安全服务体验

活动已结束，如有问题可加群反馈活动说明:软件的安全和合规越来越受重视，想快捷了解自己开发出的软件包是否存在合规或安全怎么办？二进制成分分析服务给你解决，一键自动化扫描软件包/固件，即可快速排查，快来免费体验，现在体验还有机会赢取手环、帆布包、运动汗巾等好礼！体验指导书>>>活动时间：即日起至礼品放完为止激励概览：心得文章投稿须知>>>注意事项：1、请务必使用个人账号参与活动（IAM、企业账号等账号参与无效）；2、华为云新用户定义：2022年5月16日后注册华为云账号的用户；3、一个新用户最多获取一次“新用户体验有奖”奖项，不能再获得其他三个活动的该奖项，但可以参与其余三个同期体验活动的体验抽奖（其余三个活动可进群了解）；4、只有完成产品体验并截图回帖后再进行问卷抽奖才算有效。否则并不具备获奖资格，将不会发放奖品；5、用户回帖只会仅楼主可见，以防冒用截图；6、截图务必包含华为云账号；7、获奖名单将于每月底统一公布直至礼品发放完毕，届时将发布兑奖方式。8、本活动最终解释权归华为云所有。获奖公示：奖品公示（截至5月30日）：如有异议请加入体验群进行反馈，谢谢！恭喜以上获奖小伙伴，请获奖小伙伴2022年6月10日之前点链接>>>填写领奖信息，逾期将自动视为放弃，礼品将于15个工作日内安排发放，请耐心等待~奖品公示（6月1日-6月30日）：如有异议请加入体验群进行反馈，谢谢！恭喜以上获奖小伙伴，请获奖小伙伴2022年7月15日之前点链接>>>填写领奖信息，逾期将自动视为放弃，礼品将于15个工作日内安排发放，请耐心等待~活动答疑群：解锁问卷答案：问题：华为云漏洞扫描服务本次大会发布的最新特性是什么？答案：A.移动应用安全扫描、二进制成分分析

【HCSD集训营】软件流水线专场活动开始啦！参加活动获取积分就能获得华为云官方结业证书！成为简历加分项！获奖名单（兑奖时间截至2022年10月9日12:00，过期未兑奖将视为自动放弃）实体奖品将按照问卷中所填信息进行邮寄，结业证书将在兑奖结束后在本帖下自行下载经专家评判，回帖中没有专业性并具有建设性的意见和建议，所以第一名奖项空缺兑奖方式：>>问卷填写获奖信息<<如何参与活动进行报名——领取免费套餐——完成打卡体验——本帖回复体验完成截图&心得反馈活动详情请关注报名页面回帖规则：1、报名后，请首先领取免费产品资源，否则其他积分将不作数：2、将最终打卡完成截图和心得体会统一在本帖下一次性回帖，多次回复将不做数，最终只按照最后一次回帖为准；注意是在本帖下方回帖，不要自己新建帖子，那样我们将看不到你的心得！注意：回帖要包含华为云账号，否则影响积分和奖品发放3、心得体会包含但不局限于,只有有效回帖才能获得此部分积分①用户对产品的评测，优点、缺点②希望能用到的场景③产品优化建议注意事项：1、请务必使用个人账号参与活动（IAM、企业账号等账号参与无效）；2、学习积分排名一致，则按加入课堂学习的时间先后为标准，进行排名；3、本次活动，活动获奖名单预计于活动结束后10个工作日内完成公示，15个工作日内完成奖品发放，发放时间根据实际情况动态调整，如有延期敬请见谅；4、本次活动参与用户需真实有效，如有虚假、黑产等行为，一律通报、剔除活动参与资格；5、活动解释权归华为云所有。【活动交流】活动交流答疑请务必扫码加入企业微信群，群里会不定时公布活动重要信息、获奖名单、培训信息、有奖竞答提醒等内容。

近日， 安全牛发布了《中国网络安全行业全景图（第九版）》，对我国网络安全产业整体发展情况和细分领域代表厂商进行了展现。《中国网络安全行业全景图（第九版）》（以下简称“全景图”）已于2022 年 3 月 31 日发布，是国内影响力最大的网络安全专业媒体和旗舰智库安全牛团队，基于对我国安全行业的调研和积累，并结合网络安全厂商产品信息而推出的行业图谱，自2016年9月首次推出以来，备受行业关注。作为业界知名的多云管理平台，行云管家此次入围了2大安全分类、2项安全领域：身份和访问安全、云计算安全。此次（第九版）全景图包含14项一级安全分类，94项二级安全分类，共收录433家国产网络安全企业和相关行业机构，二级细分领域共收录2609项。行云管家是国内唯一一家以SaaS形态提供的多云管理平台，目前已成功服务十万家企业级用户，实现了对多家云厂商多种云计算资源的集中管理，从成本、自动化运维、监控、合规审计、多云纳管、云资源全生命周期等多个维度提供统一运维管控，对企业而言，只需一个控制台，即可整合操作多个公有云、多个私有云 、混合云以及各种异构资源，从而进行灵活的资源管理与运维。行云管家在多云管理领域助力云计算产业发展，秉承科技引领创新、技术驱动未来的使命，通过市场验证，再次入选全景图以下分类：身份与访问安全、云计算安全。作为云计算领域的重要技术分支，云管平台（Cloud Management Platform，简称CMP）的出现是为了帮助众多企业充分利用云计算最大效能的保证，而作为业界领先的多云管理平台和技术独立的第三方云管平台，行云管家为企业用户提供了针对多家云厂商、多种云资源的一站式管理解决方案，帮助我们的客户易上云、用好云、管好云。行云管家作为国内技术领先的云堡垒机安全产品和多云管理服务提供商，多年来一直在云管领域专注多云异构环境下的运维管理难题，凭借其优异的产品能力和服务质量多次上榜《中国网络安全行业全景图》，获得资本、市场和用户的广泛认可。今后，行云管家将持续提升产品研发能力，进一步深耕和打磨产品使用体验，并联合众多渠道与伙伴，共同打造企业云服务良好的生态环境，助力企业数字化、智能化转型升级。

近日，华为云安全团队关注到Apache Log4j2 的远程代码执行最新漏洞。Apache Log4j2是一款业界广泛使用的基于Java的日志工具，该组件使用范围广泛，利用门槛低，漏洞危害极大。华为云安全在第一时间检测到漏洞状况并在官网发布相关公告，在此提醒使用Apache Log4j2的用户尽快安排自检并做好安全防护。公告详情： https://www.huaweicloud.com/notice/2021/20211210001621800.html 扫码查看Apache Log4j2是一款业界广泛使用的基于Java的日志记录工具。此次曝出的漏洞，利用门槛低，漏洞危害极大，威胁级别定义为严重级。此漏洞存在于Apache Log4j 2.x到 2.15.0-rc1多个版本，已知受影响的应用及组件包括spring-boot-starter-log4j2 / Apache Solr / Apache Flink / Apache Druid等。华为云安全在第一时间提供了对该漏洞的防护。仅仅过去数小时，华为云WAF就在现网中拦截了Apache Log4j2 远程代码执行漏洞的大量变形攻击，通过分析发现攻击者正在不断尝试新的攻击方法，当前已识别到10+种试图取得服务器控制权的变形攻击。鉴于此漏洞威胁级别高，而且出现大量变形攻击，因此华为云安全团队提醒客户及时进行检测、采取处置措施和开启防护服务。漏洞处置1. 尽快升级至Apache log4j-2.15.0-rc2官方正式版，Apache官方已发布补丁，下载地址：https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2 2. 对于无法短时间升级新版本的情况，建议采取如下措施来缓解： (优先) 添加以下JVM启动参数来禁止解析JDNI，重启服务，jvm参数 -Dlog4j2.formatMsgNoLookups=truelog4j2配置中设置log4j2.formatMsgNoLookups=True 禁止解析JDNI系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true确保使用高版本JDK，如JDK8u191默认限制远程加载恶意类(只能增加漏洞利用难度，不能杜绝)禁止没有必要的业务访问外网开启防护服务，主动检测和动态防护华为云安全持续监测此漏洞及其变种攻击，建议开启相关安全防护服务，主动扫描防护利用此漏洞进行的恶意攻击：1. 开启华为云WAF的基础防护功能（WAF标准版、专业版或铂金版），检测和拦截各种变形攻击，您可免费申请1个月标准版试用。产品页： https://www.huaweicloud.com/product/waf.html 扫码进入产品页在华为云WAF控制台，防护策略->Web基础防护，开启状态，设置拦截模式，开启华为云WAF的Web基础防护功能。2. 开启华为云CFW的基础防御功能（基础版），检测和拦截各种变形攻击。产品页： https://www.huaweicloud.com/product/cfw.html 扫码进入产品页在华为云CFW控制台，入侵防御->防御策略设置页面，打开基础防御功能开关，并启动拦截模式。3、华为云漏洞扫描服务VSS第一时间提供了对该漏洞的检测能力。开启华为云VSS的漏洞扫描功能（免费开通基础版，或购买专业版、高级版、企业版），检测网站及主机资产是否存在该漏洞，主动识别安全风险。产品页： https://www.huaweicloud.com/product/vss.html 扫码进入产品页在华为云VSS控制台，资产列表->网站->新增域名，资产列表->主机->添加主机，启动扫描，等待任务结束，查看扫描报告。华为云安全继承华为30多年的安全积累，华为云构筑的原生冰山安全体系和责任共担模型，为客户提供可信、极简、智能的云安全平台和服务，服务于包括华为流程与IT，消费者云及政企、电商、金融、互联网等行业客户。【卓越能力】20+自主研发的云安全服务和300+伙伴安全服务，从保护云工作负载，保护应用服务，保护数据资产，管理安全态势到帮助合规上云方面，帮助客户构建立体云安全防护。【全球合规】全球累计获得100+安全合规认证，如PCI 3DS，TISAX，ISO 27799， ISO/IEC 27701，ISO/IEC 27034，CSA STAR V4，SOC 2 Type2，德国C5等，满足全球客户业务合规和隐私保护要求。【产业共享】参与和主导制定10+云安全相关标准，输出30+安全白皮书，向产业和客户共享华为安全优秀实践经验。【安全保障】专业的安全运营团队，7*24小时安全保障体系，防御针对云平台的攻击，实现99.99%的安全事件自动响应，让企业上云安全无忧。

- News -1.安全研究人员发现了一个名为 GriftHorse 的大规模恶意软件操作，它已经感染了全球超过 1000 万台 Android 设备https://securityaffairs.co/wordpress/122730/malware/grifthorse-malware-campaign.html2.Group-IB 首席执行官因叛国罪被捕https://securityaffairs.co/wordpress/122710/cyber-crime/group-ib-ceo-arrested-treason-changes.html3.NSA、CISA 发布 VPN 安全指南https://www.databreachtoday.com/nsa-cisa-release-vpn-security-guidance-a-176404.土耳其国民被控使用 WireX 僵尸网络进行 DDoS 攻击https://therecord.media/turkish-national-charged-for-ddos-attacks-with-the-wirex-botnet/5.SolarWinds 攻击者开发新的 FoggyWeb 后门https://www.infosecurity-magazine.com/news/solarwinds-attackers-foggyweb/6.FormBook 将最新的 Office 365 0 日漏洞 (CVE-2021-40444) 添加到其武器库https://www.trendmicro.com/en_us/research/21/i/formbook-adds-latest-office-365-0-day-vulnerability-cve-2021-404.html7.儿童童话应用 Farfaria 曝光 290 万用户数据https://www.ehackingnews.com/2021/09/kids-fairy-tale-app-farfaria-exposed.html8.欺骗性 Zix 加密电子邮件用于凭证鱼叉式网络钓鱼https://www.ehackingnews.com/2021/09/spoofed-zix-encrypted-email-is-used-in.html9.黑客瞄准巴西的 PIX 支付系统以耗尽用户的银行账户https://thehackernews.com/2021/09/hackers-targeting-brazils-pix-payment.html10.新的 FinSpy 恶意软件变种使用 UEFI Bootkit 感染 Windows 系统https://thehackernews.com/2021/09/new-finspy-malware-variant-infects.html11.美媒：印度曾利用美公司黑客技术监听中国和巴基斯坦https://mp.weixin.qq.com/s/Zw5xsML9Gt1COFRSqnUgyw12.新型木马ERMAC已经影响378个安卓银行应用https://mp.weixin.qq.com/s/Zw5xsML9Gt1COFRSqnUgyw13.有 VISA 的 Apple Pay 允许黑客在锁定的 iPhone 上强制付款https://www.bleepingcomputer.com/news/security/apple-pay-with-visa-lets-hackers-force-payments-on-locked-iphones/

- News -1.Telegram正在成为网络罪犯的天堂https://securityaffairs.co/wordpress/122609/cyber-crime/telegram-cybercrime.html2.“安全钱包”不安全 恶意Firefox插件窃取加密货币https://www.bleepingcomputer.com/news/security/malicious-safepal-wallet-firefox-add-on-stole-cryptocurrency/3.以太坊开发人员承认帮助朝鲜逃避加密货币制裁https://www.bleepingcomputer.com/news/security/ethereum-dev-admits-to-helping-north-korea-evade-crypto-sanctions/4.新的Android 恶意软件窃取了378个银行和钱包应用程序的财务数据https://thehackernews.com/2021/09/new-android-malware-steals-financial.html5.报告称美国政府索取用户数据最多，超过任何其他国家https://www.cnbeta.com/articles/tech/1183801.htm6.Clubhouse和Facebook38亿条综合个人信息正在暗网出售https://securityaffairs.co/wordpress/122532/cyber-crime/clubhouse-facebook-data-scraping.html7.欧洲主要呼叫中心提供商之一GSS遭勒索软件攻击https://securityaffairs.co/wordpress/122570/cyber-crime/gss-ransomware-attack.html- Analysis -1.窃密的浣熊：Raccoon RAThttps://www.freebuf.com/articles/system/289470.html- APT -1.黑客利用MSHTML漏洞，攻击俄国防部火箭中心https://www.anquanke.com/post/id/2543712.欧盟就德国大选前的“Ghostwriter”黑客行为向俄罗斯发出警告https://www.cnbeta.com/articles/tech/1183189.htm

漏洞名称 :OpenSSL多个漏洞安全通告组件名称 :OpenSSL安全公告链接 : https://www.openssl.org/news/secadv/20210824.txt漏洞分析：1、组件介绍OpenSSL是一个开源的密码学套件库包。包括SSL协议库，应用程序和密码算法库等功能，提供完整的传输层安全实现，可以实现密钥生成，数字签名，数字证书签发，信息摘要等完整的加解密功能，保证通信的私密性。2、漏洞简介近日，监测到一则OpenSSL官方发布安全补丁的通告，共修复了2个安全漏洞，其中包含1个高危漏洞的信息。序号漏洞名漏洞编号 严重等级影响版本1OpenSSL缓冲区溢出漏洞          CVE-2021-3711高危1.1.1<=OpenSSL<=1.1.1k2OpenSSL缓冲区溢出漏洞CVE-2021-3712中危1.1.1<=OpenSSL<=1.1.1k1.0.2<=OpenSSL<=1.0.2y3、漏洞描述漏洞1：OpenSSL缓冲区溢出漏洞 CVE-2021-3711该漏洞是由于OpenSSL调用用来解密SM2加密的数据所用的API函数EVP_PKEY_decrypt时，计算缓冲区大小存在错误，攻击者可利用该漏洞，构造恶意数据执行远程代码执行攻击，最终可控制程序的运行或造成程序崩溃。漏洞2：OpenSSL缓冲区溢出漏洞 CVE-2021-3712该漏洞是由于OpenSSL用于存储ASN.1字符串的结构ASN1_STRING在创建时没有严格遵守字符串的零字节结尾，打印时可能发生读取缓冲区溢出，攻击者可利用该漏洞，构造恶意数据执行信息泄露攻击，最终可造成服务器敏感性信息泄露或程序崩溃。影响范围：OpenSSL是多数Linux发行版系统默认的密码套件库，由于其强大的功能被广泛使用。可能受漏洞影响的资产广泛分布于世界各地，此次曝出的漏洞有高危和中危的漏洞，涉及用户量大，漏洞影响力较大。解决方案：1、官方修复建议 执行命令openssl version显示的版本如属于上述的影响版本，则存在此漏洞。2、官方修复建议当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：https://www.openssl.org/source/参考链接：https://www.openssl.org/news/vulnerabilities.html

近日，第九届ISC互联网安全大会于北京国家会议中心举行。华为云PaaS服务产品部安全专家受邀发表题为《华为20年研发安全积累，助力企业落地DevSecOps》的主题演讲。在过去20年的演进中，华为积累了深厚的研发安全文化、流程和工具链，经历了超大规模复杂场景的考验，例如，每天执行的代码安全扫描量超过500亿行，每天执行的Web和主机漏洞扫描任务近10万个等等。这些积累，形成了华为云5大DevSecOps安全服务，可以帮助企业获得端到端的研发安全体系和能力。在敏捷开发过程中内置安全措施，让应用“天生安全，健康成长”。华为云PaaS服务产品部安全域相关负责人在现场发表演讲威胁建模服务：在产品设计早期识别并消减风险威胁建模服务，对业界公认的STRIDE方法论进行了升级，用于系统威胁分析，提供分析维度、参考案例，辅助进行安全设计，识别风险；识别风险后，智能推荐消减措施及测试用例，输出分析报告；内置的华为长期积累的安全风险识别方案、消减方案、设计方案、测试用例、场景样例与知识，降低企业安全设计门槛。隐私合规服务：解读GDPR、等保等法律法规，帮助企业满足合规要求隐私合规服务，根据对GDPR、等保等的解读与分析，提供工具，生成隐私合规报告、隐私声明，帮助企业合规设计。根据隐私合规设计方案，自动生成和执行测试用例，最后给出隐私合规验证报告。内置的的隐私设计框架，可以帮助企业快速形成行业解决方案并复制至其它行业。代码安全服务：多种源码安全静态检查，将风险拦截在编码阶段该服务支持：拦截多种语言安全问题：今年将陆续支持C/C++/Java/JS/Python/Go语言的安全问题的检查，拦截OWASP Top10、CWE等多类型的安全漏洞。为华为云CloudIDE提供IDE级代码检查能力、为CodeHub提供代码提交、合并阶段的门禁级检查，以及流水线自动化测试、出包阶段的版本级的安全问题检测。高效闭环发现的安全问题：支持扫描告警屏蔽、屏蔽结果继承、告警修复建议等功能，协助问题快速分析和闭环。内置华为优秀实践规则集、行业规则集：提供金融、车企等行业特有的安全编码扫描规则集，并提供华为云推荐规则集的合规检测。漏洞扫描服务：多场景高精度漏洞扫描，走好上线前最后一公里该服务已在华为云发布，并计划在下半年进行重大升级，支持：全场景漏洞覆盖：覆盖Web、主机、镜像、开源软件、移动应用的漏洞扫描和隐私合规检查能力，支持华为、OWASP等业界优秀实践，支持等保2.0等标准。专业的修复建议：提供典型Web漏洞精准检测，在CVE漏洞评估方面更贴近真实威胁；在APK开源组件扫描和信息泄露检测方面，具备更精准的检测能力，因此可以提供更专业的修复建议。可升级的漏洞检测能力：聚焦最新安全漏洞，动态扩展扫描能力；可灵活集成第三方漏洞扫描引擎，统一报告展示，支持漏洞去重，也可被集成至第三方持续集成/持续发布流水线中。研发安全专家服务：企业既有工具，又建立安全文化研发安全专家服务，可以为企业提供研发安全水平评估、检查能力定制、工具工程能力定制、安全运营体系咨询、设立工具评估标准等。帮助企业不仅用好安全工具链，更深刻认识安全流程如何协调团队和工具的使用，最后形成牢不可破的安全文化，将安全融入企业的基因中。上述研发安全服务，许多能力已经上线国内领先的DevOps平台——华为云DevCloud，并将持续迭代，降低企业安全研发门槛，提升效率。华为云希望与更多的合作伙伴一道，进行产品、技术、商务等层面的合作，共同构建DevSecOps安全生态，为用户打造领先的应用安全解决方案。

安全研究人员7月25日提醒注意 Exim 安全公告中披露的Exim输入验证错误漏洞，该漏洞源于receivemsg()函数的整数溢出。漏洞描述：安全研究人员7月25日提醒注意 Exim 安全公告中披露的Exim输入验证错误漏洞，该漏洞源于receivemsg()函数的整数溢出。远程攻击者利用该漏洞可以向邮件服务器发送专门设计的数据，触发整数溢出，并在目标系统上执行任意代码。专家建议受影响的用户尽快升级到安全版本。漏洞编号：CVE-2020-28020漏洞等级：高危，CVSS评分9.8漏洞详情：在Exim 4.91（邮件服务器软件）中发现了一个严重漏洞。该漏洞影响功能receive_msg，使用未知输入进行操作会导致内存损坏。4.92 之前的 Exim 4 允许整数溢出到缓冲区溢出，其中未经身份验证的远程攻击者可以通过在标头长度限制期间利用对连续行的错误处理来执行任意代码。该漏洞于 2021 年 5 月 6 日发布，可以在qualys.com上阅读该建议。自 2020 年 10 月30 日起，此漏洞被唯一标识为CVE- 2020-28020。可利用性评估为“很容易”，漏洞可以远程发起，且不需要任何形式的身份验证。该漏洞的技术细节已知，暂无可用POC。Exim是一个运行于Unix系统中的开源消息传送代理（MTA），它主要负责邮件的路由、转发和投递。Exim 是根据GNU 通用公共许可证条款分发的免费软件。受影响的版本：Exim < 4.94.2安全版本：Exim >= 4.94.2漏洞解决办法：建议受影响的用户尽快升级到安全版本。参考链接：http://www.openwall.com/lists/oss-security/2021/07/25/1https://seclists.org/oss-sec/2021/q3/42https://www.qualys.com/2021/05/04/21nails/21nails.txthttps://www.exim.org/static/doc/security/CVE-2020-qualys/CVE-2020-28020-HSIZE.txt