近日，第九届ISC互联网安全大会于北京国家会议中心举行。华为云PaaS服务产品部安全专家受邀发表题为《华为20年研发安全积累，助力企业落地DevSecOps》的主题演讲。在过去20年的演进中，华为积累了深厚的研发安全文化、流程和工具链，经历了超大规模复杂场景的考验，例如，每天执行的代码安全扫描量超过500亿行，每天执行的Web和主机漏洞扫描任务近10万个等等。这些积累，形成了华为云5大DevSecOps安全服务，可以帮助企业获得端到端的研发安全体系和能力。在敏捷开发过程中内置安全措施，让应用“天生安全，健康成长”。华为云PaaS服务产品部安全域相关负责人在现场发表演讲威胁建模服务：在产品设计早期识别并消减风险威胁建模服务，对业界公认的STRIDE方法论进行了升级，用于系统威胁分析，提供分析维度、参考案例，辅助进行安全设计，识别风险；识别风险后，智能推荐消减措施及测试用例，输出分析报告；内置的华为长期积累的安全风险识别方案、消减方案、设计方案、测试用例、场景样例与知识，降低企业安全设计门槛。隐私合规服务：解读GDPR、等保等法律法规，帮助企业满足合规要求隐私合规服务，根据对GDPR、等保等的解读与分析，提供工具，生成隐私合规报告、隐私声明，帮助企业合规设计。根据隐私合规设计方案，自动生成和执行测试用例，最后给出隐私合规验证报告。内置的的隐私设计框架，可以帮助企业快速形成行业解决方案并复制至其它行业。代码安全服务：多种源码安全静态检查，将风险拦截在编码阶段该服务支持：拦截多种语言安全问题：今年将陆续支持C/C++/Java/JS/Python/Go语言的安全问题的检查，拦截OWASP Top10、CWE等多类型的安全漏洞。为华为云CloudIDE提供IDE级代码检查能力、为CodeHub提供代码提交、合并阶段的门禁级检查，以及流水线自动化测试、出包阶段的版本级的安全问题检测。高效闭环发现的安全问题：支持扫描告警屏蔽、屏蔽结果继承、告警修复建议等功能，协助问题快速分析和闭环。内置华为优秀实践规则集、行业规则集：提供金融、车企等行业特有的安全编码扫描规则集，并提供华为云推荐规则集的合规检测。漏洞扫描服务：多场景高精度漏洞扫描，走好上线前最后一公里该服务已在华为云发布，并计划在下半年进行重大升级，支持：全场景漏洞覆盖：覆盖Web、主机、镜像、开源软件、移动应用的漏洞扫描和隐私合规检查能力，支持华为、OWASP等业界优秀实践，支持等保2.0等标准。专业的修复建议：提供典型Web漏洞精准检测，在CVE漏洞评估方面更贴近真实威胁；在APK开源组件扫描和信息泄露检测方面，具备更精准的检测能力，因此可以提供更专业的修复建议。可升级的漏洞检测能力：聚焦最新安全漏洞，动态扩展扫描能力；可灵活集成第三方漏洞扫描引擎，统一报告展示，支持漏洞去重，也可被集成至第三方持续集成/持续发布流水线中。研发安全专家服务：企业既有工具，又建立安全文化研发安全专家服务，可以为企业提供研发安全水平评估、检查能力定制、工具工程能力定制、安全运营体系咨询、设立工具评估标准等。帮助企业不仅用好安全工具链，更深刻认识安全流程如何协调团队和工具的使用，最后形成牢不可破的安全文化，将安全融入企业的基因中。上述研发安全服务，许多能力已经上线国内领先的DevOps平台——华为云DevCloud，并将持续迭代，降低企业安全研发门槛，提升效率。华为云希望与更多的合作伙伴一道，进行产品、技术、商务等层面的合作，共同构建DevSecOps安全生态，为用户打造领先的应用安全解决方案。

安全研究人员7月25日提醒注意 Exim 安全公告中披露的Exim输入验证错误漏洞，该漏洞源于receivemsg()函数的整数溢出。漏洞描述：安全研究人员7月25日提醒注意 Exim 安全公告中披露的Exim输入验证错误漏洞，该漏洞源于receivemsg()函数的整数溢出。远程攻击者利用该漏洞可以向邮件服务器发送专门设计的数据，触发整数溢出，并在目标系统上执行任意代码。专家建议受影响的用户尽快升级到安全版本。漏洞编号：CVE-2020-28020漏洞等级：高危，CVSS评分9.8漏洞详情：在Exim 4.91（邮件服务器软件）中发现了一个严重漏洞。该漏洞影响功能receive_msg，使用未知输入进行操作会导致内存损坏。4.92 之前的 Exim 4 允许整数溢出到缓冲区溢出，其中未经身份验证的远程攻击者可以通过在标头长度限制期间利用对连续行的错误处理来执行任意代码。该漏洞于 2021 年 5 月 6 日发布，可以在qualys.com上阅读该建议。自 2020 年 10 月30 日起，此漏洞被唯一标识为CVE- 2020-28020。可利用性评估为“很容易”，漏洞可以远程发起，且不需要任何形式的身份验证。该漏洞的技术细节已知，暂无可用POC。Exim是一个运行于Unix系统中的开源消息传送代理（MTA），它主要负责邮件的路由、转发和投递。Exim 是根据GNU 通用公共许可证条款分发的免费软件。受影响的版本：Exim < 4.94.2安全版本：Exim >= 4.94.2漏洞解决办法：建议受影响的用户尽快升级到安全版本。参考链接：http://www.openwall.com/lists/oss-security/2021/07/25/1https://seclists.org/oss-sec/2021/q3/42https://www.qualys.com/2021/05/04/21nails/21nails.txthttps://www.exim.org/static/doc/security/CVE-2020-qualys/CVE-2020-28020-HSIZE.txt

Istio 包含一个可远程利用的漏洞，使用Istio的k8s集群内的机器有可能越权访问到TLS证书和密钥。漏洞描述： Istio 包含一个可远程利用的漏洞，使用Istio的k8s集群内的机器有可能越权访问到TLS证书和密钥。建议受影响的用户尽快升级。lstio是一个由谷歌、IBM与Lyft共同开发的开源项目，旨在提供一种统一化的微服务连接、安全保障、管理与监控方式。漏洞编号：CVE-2021-34824漏洞等级： 高危，CVSS评分9.1漏洞详情： 该IstioGateway DestinationRule可以通过从Kubernetes秘密加载私钥和证书credentialName的配置。对于Istio 1.8 及更高版本，秘密通过 XDS API 从 Istiod 传送到网关或工作负载。在上述方法中，网关或工作负载部署应该只能访问存储在其命名空间内的Kubernetes 机密中的凭据（TLS 证书和私钥）。然而，Istiod 中的一个错误允许授权客户端访问和检索 Istiod 中缓存的任何 TLS证书和私钥。受影响的版本：Istio <=1.8Istio 1.9.0 到 1.9.5Istio 1.10.0 到 1.10.1安全版本：Istio >= 1.9.6 或更高版本，如果使用 1.9.xIstio >= 1.10.2 或更高版本，如果使用 1.10.x如果使用的是 Istio 1.8，请联系Istio 提供商以检查更新。否则，请升级到 Istio 1.9 或 1.10 的最新补丁版本。我受影响了吗？如果以下所有条件都为真，您的集群就会受到影响：使用的是 Istio 1.10.0 到 1.10.1、Istio 1.9.0 到 1.9.5 或 Istio 1.8.x。已定义Gateways或 DestinationRules具有credentialName指定的字段。没有指定 Istiod 标志PILOT_ENABLE_XDS_CACHE=false。漏洞修复建议：建议受影响的用户尽快升级到安全版本。如果升级不可行，则可以通过禁用 Istiod 缓存来缓解此漏洞。通过设置 Istiod 环境变量来禁用缓存PILOT_ENABLE_XDS_CACHE=false。修改后，系统和 Istiod 性能可能会受到影响，因为这会禁用 XDS 缓存。参考链接：https://istio.io/latest/news/security/istio-security-2021-007/

一、概要近日，微软发布2021年6月份安全补丁更新，共披露了50个安全漏洞，其中5个漏洞标记为严重漏洞。攻击者利用漏洞可实现远程代码执行、权限提升、敏感信息泄露等。受影响的应用包括：Microsoft Windows、Windows Server、Edge、SharePoint等组件。华为云提醒用户及时安排自检并做好安全加固以降低安全风险。微软官方说明：https://msrc.microsoft.com/update-guide/releaseNote/2021-Jun本月用户需关注已出现在野攻击利用的6个0day漏洞，及时升级补丁避免遭受攻击： CVE-2021-31955 - Windows 内核信息泄露漏洞CVE-2021-31956 - Windows NTFS 特权提升漏洞CVE-2021-33739 - Microsoft DWM 核心库特权提升漏洞CVE-2021-33742 - Windows MSHTML 平台远程代码执行漏洞CVE-2021-31199 - Microsoft Enhanced Cryptographic特权提升漏洞CVE-2021-31201 - Microsoft Enhanced Cryptographic特权提升漏洞二、漏洞级别漏洞级别：【严重】（说明：漏洞级别共四级：一般、重要、严重、紧急）三、影响范围Microsoft Windows、Windows Server、Edge、SharePoint等产品。四、重要漏洞说明详情CVE编号漏洞名称严重程度影响产品CVE-2021-31985Microsoft Defender 远程代码执行漏洞严重Microsoft  Malware Protection EngineCVE-2021-31959脚本引擎内存损坏漏洞严重Windows 10、Windows 8.1/RT 8.1、Windows 7、Windows Server 2008 R2/2012/2012 R2/2016/2019CVE-2021-31967VP9 Video 扩展程序远程执行代码漏洞严重VP9 Video ExtensionsCVE-2021-31963Microsoft SharePoint Server 远程执行代码漏洞严重Microsoft SharePoint Foundation 2013、Microsoft SharePoint Server 2019、Microsoft SharePoint Enterprise Server 2013/2016CVE-2021-33742Windows MSHTML 平台远程代码执行漏洞严重Windows 10、Windows 8.1/RT 8.1、Windows 7、Windows Server 2008/2008 R2/2012/2012 R2/2016/2019（注：以上为严重漏洞，其他漏洞及详情请参见微软官方说明） 五、安全建议1、可通过Windows Update自动更新微软补丁修复漏洞，也可以手动下载补丁，补丁下载地址：https://msrc.microsoft.com/update-guide2、为确保数据安全，建议重要业务数据进行异地备份。注意：修复漏洞前请将资料备份，并进行充分测试。

日前著名Web服务器和反向代理服务器Nginx暴露严重漏洞NS解析器Off-by-One堆写入漏洞，该漏洞存在于Nginx的DNS解析模块ngx_resolver_copy()。攻击者可以利用该漏洞进行远程DDos攻击，甚至远程执行。概述　　ngx_resolver_copy()在处理DNS响应时出现一个off-by-one错误，利用该漏洞网络攻击者可以在堆分配的缓冲区中写一个点字符（.’, 0x2E）导致超出范围。 所有配置解析器语法的（resolver xxxx）Nginx实例可以通过DNS响应（响应来自Nginx的DNS请求）来触发该漏洞。 特制数据包允许使用0x2E覆盖下一个堆块元数据的最低有效字节，利用该漏洞攻击者，可以实现Ddos拒绝服务，甚至可能实现远程代码执行。　　由于Nginx中缺乏DNS欺骗缓解措施，并且在检查DNS事务ID之前调用了易受攻击的功能，因此远程攻击者可能能够通向中毒服务器注入受毒的DNS响应来利用此漏洞。　　漏洞影响　　严重等级： 高　　漏洞向量： 远程/DNS　　确认的受影响版本： 0.6.18-1.20.0　　确认的修补版本： 1.21.0，1.20.1　　供应商： F5，Inc.　　状态： 公开　　CVE： CVE-2021-23017　　CWE： 193　　CVSS得分： 8.1　　CVSS向量：CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C　　漏洞分析　　当Nginx配置中设置resolver时，Nginx DNS解析器（core/ngx_resolver.c）用于通过DNS解析多个模块的主机名。　　Nginx中通过ngx_resolver_copy()调用来验证和解压缩DNS响应中包含的每个DNS域名，接收网络数据包作为输入和指向正在处理的名称的指针，并在成功后返回指向包含未压缩名称的新分配缓冲区的指针。调用整体上分两步完成的，　　1）计算未压缩的域名大小的长度len并验证输入包的合法性，丢弃包含大于128个指针或包含超出输入缓冲区边界的域名。　　2）分配输出缓冲区，并将未压缩的域名复制到其中。　　第1部分中的大小计算与第2部分中的未压缩的域名之间的不匹配，导致一个len的一个off-by-one错误，导致允许以一个字节为单位写一个点字符超出name->data的边界。　　当压缩名称的最后一部分包含一个指向NUL字节的指针时，就会发生计算错误。 尽管计算步骤仅考虑标签之间的点，但每次处理标签并且接着的字符为非NUL时，解压缩步骤都会写入一个点字符。当标签后跟指向NUL字节的指针时，解压缩过程将：　　// 1) copy the label to the output buffer,　　ngx_strlow(dst, src, n);　　dst += n;　　src += n;　　// 2) read next character,　　n = *src++;　　// 3) as its a pointer, its not NUL,　　if (n != 0) {　　// 4) so a dot character that was not accounted for is written out of bounds　　*dst++ = '.';　　// 5) Afterwards, the pointer is followed,　　if (n & 0xc0) {　　n = ((n & 0x3f) << 8) + *src;　　src = &buf[n];　　n = *src++;　　// 6) and a NULL byte is found, signaling the end of the function　　if (n == 0) {　　name->len = dst - name->data;　　return NGX_OK;　　如果计算的大小恰好与堆块大小对齐，则超出范围的点字符将覆盖下一个堆块长度的元数据中的最低有效字节。这可能会直接导致下一个堆块的大小写入，但还会覆盖3个标志，从而导致 PREV_INUSE被清除并 IS_MMAPPED被设置。　　==7863== Invalid write of size 1　　==7863== at 0x137C2E: ngx_resolver_copy (ngx_resolver.c:4018)　　==7863== by 0x13D12B: ngx_resolver_process_a (ngx_resolver.c:2470)　　==7863== by 0x13D12B: ngx_resolver_process_response (ngx_resolver.c:1844)　　==7863== by 0x13D46A: ngx_resolver_udp_read (ngx_resolver.c:1574)　　==7863== by 0x14AB19: ngx_epoll_process_events (ngx_epoll_module.c:901)　　==7863== by 0x1414D4: ngx_process_events_and_timers (ngx_event.c:247)　　==7863== by 0x148E57: ngx_worker_process_cycle (ngx_process_cycle.c:719)　　==7863== by 0x1474DA: ngx_spawn_process (ngx_process.c:199)　　==7863== by 0x1480A8: ngx_start_worker_processes (ngx_process_cycle.c:344)　　==7863== by 0x14952D: ngx_master_process_cycle (ngx_process_cycle.c:130)　　==7863== by 0x12237F: main (Nginx.c:383)　　==7863== Address 0x4bbcfb8 is 0 bytes after a block of size 24 alloc'd　　==7863== at 0x483E77F: malloc (vg_replace_malloc.c:307)　　==7863== by 0x1448C4: ngx_alloc (ngx_alloc.c:22)　　==7863== by 0x137AE4: ngx_resolver_alloc (ngx_resolver.c:4119)　　==7863== by 0x137B26: ngx_resolver_copy (ngx_resolver.c:3994)　　==7863== by 0x13D12B: ngx_resolver_process_a (ngx_resolver.c:2470)　　==7863== by 0x13D12B: ngx_resolver_process_response (ngx_resolver.c:1844)　　==7863== by 0x13D46A: ngx_resolver_udp_read (ngx_resolver.c:1574)　　==7863== by 0x14AB19: ngx_epoll_process_events (ngx_epoll_module.c:901)　　==7863== by 0x1414D4: ngx_process_events_and_timers (ngx_event.c:247)　　==7863== by 0x148E57: ngx_worker_process_cycle (ngx_process_cycle.c:719)　　==7863== by 0x1474DA: ngx_spawn_process (ngx_process.c:199)　　==7863== by 0x1480A8: ngx_start_worker_processes (ngx_process_cycle.c:344)　　==7863== by 0x14952D: ngx_master_process_cycle (ngx_process_cycle.c:130)　　虽然目前还没有Poc出来，理论上该漏洞可以被用来进行远程代码执行。　　攻击向量分析　　DNS响应可以通过多种方式触发漏洞。　　首先，Nginx必须发送了DNS请求，并且必须等待响应。 然后，可以在DNS响应的多个部分进行投毒：　　DNS问题QNAME，　　DNS回答名称，　　DNS会回答RDATA以获得CNAME和SRV响应，　　通过使用多个中毒的QNAME，NAME或RDATA值制作响应，可以在处理响应时多次击中易受攻击的函数，从而有效地执行多次脱机写入。　　此外，当攻击者提供中毒的CNAME时，它将以递归方式解决，从而在执行过程中触发了额外的OOB写操作 ngx_resolve_name_locked() 调用ngx_strlow()（ngx_resolver.c：594）和其他OOB读取期间 ngx_resolver_dup()（ngx_resolver.c：790）和 ngx_crc32_short()（ngx_resolver.c：596）。　　用于“example.net”请求的DNS响应示例负载，其中包含被污染的CNAME：　　稍微不同的有效负载（poc.py中的有效负载）填充了足够的字节以覆盖 next_chunk.mchunk_size带点的最低有效字节：　　24字节的标签导致分配了24字节的缓冲区，该缓冲区填充有24字节+一个超出范围的点字符。　　漏洞修复和解决　　通过向域名解析时，在域名末尾写入的伪造的点字符分配一个额外的字节可以缓解此问题。　　受漏洞影响的配置　　daemon off;　　http{　　access_log logs/access.log;　　server{　　listen 8080;　　location / {　　resolver 127.0.0.1:1053;　　set $dns example.net;　　proxy_pass $dns;　　events {　　worker_connections 1024;

一、概要近日，华为云关注到XStream官方发布安全公告，披露在1.4.17之前的版本中存在一处新的反序列化漏洞（CVE-2021-29505），攻击者通过构造特殊的XML可绕过XStream黑名单，导致远程代码执行。XStream是Java类库，用来将对象序列化成XML （JSON）或反序列化为对象。华为云提醒使用XStream的用户尽快安排自检并做好安全加固。参考链接：http://x-stream.github.io/CVE-2021-29505.htmlhttp://x-stream.github.io/changes.html二、威胁级别威胁级别：【严重】（说明：威胁级别共四级：一般、重要、严重、紧急）三、漏洞影响范围影响版本：XStream < 1.4.17安全版本：XStream 1.4.17四、漏洞处置目前官方已在最新版本中修复了该漏洞，请受影响的用户及时升级至安全版本。http://x-stream.github.io/download.html华为云WAF具备对该漏洞防御能力。华为云WAF用户将“Web基础防护”状态设置为“拦截”模式，具体方法请参见配置Web基础防护规则。注：修复漏洞前请将资料备份，并进行充分测试。 

一、概要近日，微软发布2021年4月份安全补丁更新，共披露了108个安全漏洞，其中19个漏洞标记为严重漏洞。攻击者利用漏洞可实现远程代码执行、权限提升、敏感信息泄露等。受影响的应用包括：Microsoft Windows、Exchange Server、Office等组件。微软官方说明：https://msrc.microsoft.com/update-guide/releaseNote/2021-Apr本月用户需关注如下重点漏洞，及时自检并安排补丁升级，避免遭受攻击：Microsoft Exchange Server远程代码执行漏洞（CVE-2021-28480、CVE-2021-28481、CVE-2021-28482、CVE-2021-28483）：攻击者将这四个漏洞结合利用可绕过Exchange身份验证机制，无需用户交互，实现远程代码执行。用户需注意的是这几个漏洞官方描述可造成蠕虫级漏洞危害，受影响的用户需尽快升级补丁。二、漏洞级别漏洞级别：【严重】（说明：漏洞级别共四级：一般、重要、严重、紧急。）三、影响范围Microsoft Windows、Exchange Server、Office等产品。四、重要漏洞说明详情CVE编号漏洞名称严重程度影响产品CVE-2021-28481CVE-2021-28482CVE-2021-28483Microsoft Exchange   Server远程执行代码漏洞严重Microsoft Exchange Server 2013/2016/2019CVE-2021-28315CVE-2021-28329CVE-2021-28330CVE-2021-28331CVE-2021-28332CVE-2021-28333CVE-2021-28334CVE-2021-28335CVE-2021-28336CVE-2021-28337CVE-2021-28338CVE-2021-28339CVE-2021-28343RPC（Remote Procedure Call） 运行中的远程代码执行漏洞严重Windows 10、Windows   8.1/RT 8.1、Windows Server 2008/2008 R2/2012/2012   R2/2016/2019CVE-2021-27095CVE-2021-28315Windows Media视频解码器远程执行代码漏洞严重Windows 10、Windows   8.1/RT 8.1、Windows 7、Windows Server 2008/2008 R2/2012/2012 R2/2016/2019CVE-2021-28460Azure Sphere未签名代码执行漏洞严重Azure Sphere（注：以上为严重漏洞，其他漏洞及详情请参见微软官方说明） 五、安全建议1、可通过Windows Update自动更新微软补丁修复漏洞，也可以手动下载补丁，补丁下载地址：https://msrc.microsoft.com/update-guide/2、为确保数据安全，建议重要业务数据进行异地备份。注意：修复漏洞前请将资料备份，并进行充分测试。

2021年3月13日 XStream 官方发布安全公告，披露多个反序列化漏洞。漏洞描述：XStream是一个常用的Java对象和XML相互转换的工具。近日XStream官方发布安全更新，修复了多个XStream 反序列化漏洞。攻击者通过构造恶意的XML文档，可绕过XStream的黑名单，触发反序列化，从而造成如CVE-2021-21345 反序列化代码执行漏洞等。实际漏洞利用依赖于具体代码实现以及相关接口请求，无法批量远程利用，实际危害相对较低。漏洞评级：CVE-2021-21344 XStream 反序列化代码执行漏洞 高危CVE-2021-21345 XStream 反序列化代码执行漏洞 高危CVE-2021-21346 XStream 反序列化代码执行漏洞 高危CVE-2021-21347 XStream 反序列化代码执行漏洞 高危CVE-2021-21350 XStream 反序列化代码执行漏洞 高危CVE-2021-21351 XStream 反序列化代码执行漏洞 高危影响版本：XStream < 1.4.16安全版本：XStream 1.4.16安全建议：针对使用到XStream组件的web服务升级至最新版本：http://x-stream.github.io/changes.html相关链接：https://x-stream.github.io/security.html#workaround

所属漏洞编号CNVD-2021-17268补丁链接https://github.com/blackbeam/rust-marc/issues/7备注补丁描述Blackbeam Rust-marc是Blackbeam个人开发者的一个为Rust语言提供与mrc格式文件进行交互的代码库。 Blackbeam Rust-marc 2.0.0 之前版本存在安全漏洞，该漏洞源于用户提供的读实现可访问新分配的内存中的旧内容。目前没有详细的漏洞细节提供。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。补丁附件(无附件)补丁状态通过审核补丁审核意见(无审核意见)  在发布漏洞公告信息之前，CNVD都力争保证每条公告的准确性和可靠性。然而，采纳和实施公告中的建议则完全由用户自己决定，其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策，您应考虑其内容是否符合您个人或您企业的安全策略和流程。

引言：在“DevOps能力之屋（Capabilities House of DevOps）”中，华为云DevCloud提出（工程方法+最佳实践+生态）×工具平台=DevOps能力。华为云DevCloud将推出“DevOps on DevCloud”系列，针对DevOps领域场景，阐述该场景在华为云DevCloud上的实施方法与实践。本文共同作者为浩初。安全测试是测试的重要组成部分。无可否认，安全测试是一片汪洋大海，如果没有经过全面培训与丰富实战的专业人员的帮助，企业可能很难进行完整的安全测试。但是每个企业组织都应该在进行生产前，至少进行基本的安全测试。同时，从2012年Gartner公司提出DevSecOps以来，DevSecOps的理念与实践越来越得到业界的关注与认可。DevSecOps旨在将安全测试结合到持续集成/持续交付（CI/CD）中，使得安全能够跟上代码的迭代速度。因此，企业组织与其它任何测试（例如回归测试、冒烟测试）一样，将安全测试加入到流水线，这样安全测试也可以作为流水线的一部分运行并及时报告问题，在一定程度上践行DevSecOps。OWASP是一个开源的、非盈利的全球性安全组织，致力于应用软件的安全研究。OWASP ZAP（Zed Attack Proxy）是用于安全测试的开源工具，它可以帮助我们查找不同类型的漏洞，例如SQL注入，跨站点脚本编写等。ZAP以架设代理的形式来实现渗透性测试，它充当一个中间人的角色，浏览器所有与服务器的交互都要经过ZAP，这样ZAP就可以获得所有这些交互的信息，并且可以对他们进行分析、扫描，甚至是改包再发送。在本文中，主要分步展示了如何在华为云DevCloud中配置OWASP ZAP安全测试并发布HTML结果，主要实现以下目标：1.    将OWASP ZAP测试配置到华为云DevCloud流水线中；2.    将ZAP HTML测试结果发布到Tomcat服务器中，进行在线查看；3.    基于ZAP测试结果，在华为云DevCloud项目管理创建相应的工作项。1. 前提准备1.1      创建代码仓库本安全测试用到的脚本已经存放在华为云DevCloud的代码托管模板中。用户首先创建一个项目，然后点击代码-代码托管-按模板新建，在弹出页面中选择华北-北京四，在搜索框中输入DoD进行搜索，如下图所示：选中图中搜索出的代码仓库，并新建自己的仓库。在仓库中有如下两个脚本：start_zap.sh脚本用来执行安全测试，生成测试结果，并将测试结果传递给data_analysis.py进行处理。data_analysis.py脚本用来进行测试结果处理，实现门禁功能。注意用户在使用过程中，需将该脚本中的用户名、密码改成自己的华为云用户名、密码。1.2     将ZAP镜像上传到华为云SWR镜像仓华为云容器镜像服务（Software Repository for Container）是一种支持容器镜像全生命周期管理的服务，提供简单易用、安全可靠的镜像管理功能，帮助用户快速部署容器化服务，参考链接。[w1] 在这里，我们首先将ZAP镜像拉取到本地，命令如下：docker pull owasp/zap2docker-weekly然后再上传到华为云SWR中，以便后续使用。如下图所示：1.3     在华为云DevCloud中添加相应服务扩展点服务扩展点是DevCloud平台的一种扩展插件，为DevCloud平台提供链接第三方服务的能力。如本文中的华为云SWR镜像仓。[w2] 本文中使用华为云SWR镜像仓地址为：swr.cn-north-4.myhuaweicloud.com用户名、密码等信息可以到华为云SWR页面点击登录信息按钮进行获取。1.4     已准备好待检测网站地址本文用的是ZAP Baseline Scan中的示例：https://www.example.com1.5     弹性云服务器部署将使用带有公网IP的弹性云服务器，本文使用的是华为云ECS，参考链接。2. 在华为云DevCloud 流水线中设置OWASP ZAP测试2.1     将脚本发布到发布仓库我们可以使用编译构建任务将步骤1.1代码仓库中的start_zap.sh和data_analysis.py脚本发布到发布仓库中，供后续使用。当然也可以下载后上传到发布仓库，本处不在赘述。[w3] 2.2     创建ZAP运行环境通过华为云DevCloud的部署任务来创建ZAP运行环境，主要是从SWR拉取镜像部署到用户自己的弹性云服务器中，然后安装Python、Tomcat基础环境，并将安全测试脚本拉取到弹性云服务器中执行并进行结果处理。•      安装Docker。•      登录Docker镜像仓。•      拉取镜像。•      安装Python，执行Python脚本用。•      安装Tomcat，在线浏览测试结果用。•      停止Tomcat。•      拉取步骤2.1中上传到发布仓库中的测试用脚本（start_zap.sh和data_analysis.py）。•      执行测试用脚本，进行流程控制。•      启动Tomcat服务，在线浏览测试结果。2.3     将ZAP安全测试添加到流水线中将要测试网站进行构建、检查、打包、部署，然后通过ZAP进行安全测试，测试没有问题后，进行业务决策，并上线生产环境。流水线执行后，我们可以通过在线浏览查看相应的测试报告，如下图所示：根据测试结果脚本中的处理流程，在有问题的情况下，我们可以直接在华为云DevCloud的项目管理服务新建相应工作项如下图所示：本文实现了在华为云DevCloud流水线中实现OWASP ZAP安全测试，企业组织可以在本文的基础上进一步优化相关的实现。当然，企业组织在软件交付中，可能还会使用其它第三方工具，也可以参考本文找到解决方法。

请移步https://bbs.huaweicloud.com/blogs/194516

尊敬的华为云云市场合作伙伴：您好！为了确保云市场商品的安全性，自2020年8月7日起，发布SaaS类商品如涉及为用户提供网站服务（包括业务前台，管理后台portal等），您需确保您的应用不存在恶意内容，高危漏洞等。请您根据SaaS类商品安全漏洞扫描操作指导及安全规范的指引，对应用完成安全漏洞扫描自测试 ，商品发布时关联相应的扫描测试报告一起提交审核。具体操作流程请参见：https://support.huaweicloud.com/usermanual-marketplace/zh-cn_topic_0268096870.html如您有任何问题，可随时通过工单或者服务邮箱（partner@huaweicloud.com）与我们联系。感谢您对华为云云市场的支持！

镜像是容器运行的基础，在容器的构建开发阶段，镜像一旦存在漏洞，就有可能导致在后续运行环境里面所有运行这个镜像的容器都存在安全问题。例如，镜像中的软件存在漏洞、镜像存在病毒后门，就可能导致容器被不法分子控制利用，从而导致容器中的敏感信息被泄露、整个系统沦陷等风险。那么，如何在构建开发阶段排查镜像的安全性呢？华为云容器安全服务（Container Guard Servic，CGS）的私有镜像漏洞扫描功能帮助您解决这个困扰，让您在容器构建开发阶段就能发现镜像的安全问题，得到一个安全可靠的镜像文件，避免使用危险镜像进行开发。目前，私有镜像扫描功能支持对基于Linux操作系统制作的容器镜像进行检测，且是免费的哦~~还没有开通CGS的用户来体验本节课程的操作？戳这里，了解开通CGS。玩转CGS私有镜像安全扫描CGS支持对容器镜像服务（Software Repository for Container，SWR）中的自有镜像进行检测。将自有镜像上传至SWR，然后更新到CGS后，CGS即可在每日凌晨自动检测更新的镜像。检测完成后，您就可以查看漏洞报告和根据提供的解决方案对镜像进行修复和调整。现在教大家一个口诀，“一更二查三修复”，完成这三个步骤，您就能得到一个安全可靠的镜像文件啦~~【一更】从SWR更新镜像若SWR镜像已更新到CGS，您可以跳过此步骤，直接查看镜像版本的漏洞报告。步骤1：登录管理控制台。步骤2：在页面上方选择区域后，单击，选择“安全 > 容器安全服务”。步骤3： 在左侧导航树中，选择“镜像列表”，进入“镜像列表”界面。步骤4：选择“私有镜像仓库”页签。步骤5： 单击“从SWR更新镜像”，更新镜像到CGS私有镜像仓库。CGS对镜像进行检测需要一段时间，百兆级的镜像，大概需要10分钟左右，扫描耗时随镜像的规模增大而延长。请您过一段时间在进行刷新查看哦~~ 【二查】查看镜像版本的漏洞报告步骤1：自动检测完成后，在需要查看漏洞报告的镜像左侧，单击展开该镜像的版本列表，然后单击“漏洞报告”，查看该镜像各个版本的漏洞报告。步骤2：漏洞报告按照“需尽快修复”、“可延后修复”、“暂可不修复”三个漏洞等级汇总漏洞信息，并且展示了漏洞的具体信息以及相应的漏洞解决方案。小窍门对于漏洞的修复或调整，您可以根据自身业务情况进行选择性修复，对系统影响较小的镜像，可不进行修复【三修复】对镜像进行修复或调整单击解决方案列的链接，根据解决方案对该镜像版本进行修复和调整。修复和调整后，您就可以得到一个安全可信的镜像啦~~对于私有镜像，CGS还提供了恶意文件、基线配置、软件信息和文件信息的检测，有没有很心动，赶紧戳它了解详情吧~~更多关于CGS的功能，戳这里安全无小事，时刻需警惕。2020，华为云普惠云安全，为您的网站、主机、数据提供免费云体检，还有一站式过等保贴心指导，赶紧戳这里，了解详情吧！

号外！号外！买域名送web漏洞扫描专业版2018年12月4日——2019年2月28日，买华为云任意域名就送web漏洞扫描专业版啦！！！活动信息如下：一、活动介绍1、买任意域名可免费获得web漏洞扫描专业版1个月（.cn仅需29元，.com55元，.top11元）2、限制条件：已实名认证的客户，每个客户限领1台二、流程指导1、实名认证：完成实名认证2、购买域名，（点击注册域名）完成订购后系统自动触发赠送到您的华为云账户3、已登录华为云账号情况下，进入“账号中心->我的特权”，查看列表并点击领取，赠送有延迟，请耐心等待5分钟左右。领取过程中会走订购流程，该流程不收取费用。4、完成上述第3步后，可到“控制台->漏洞扫描服务->免费体验”列表中查看状态 立即注册华为云域名，.cn仅需19元，.com53元，.top11元 三、温馨提示：1、域名属于即时产品，一单订购成功不能退订；2、符合条件的客户买完域名域名后，需要等5分钟左右才能在“我的特权”中看到赠送；3、手把手教你使用漏洞扫描，让您的网站安全无忧：https://bbs.huaweicloud.com/forum/thread-1198-1-1.html

一、概要微软近日发布了8月份安全补丁更新，共披露了60个安全漏洞，其中包括两个0 day漏洞（CVE-2018-8414、CVE-2018-8373），主要涉及Windows Shell和IE两大产品，攻击者可利用漏洞实施远程代码执行等攻击。同时微软还发布了针对缓解L1TF变种攻击（CVE-2018-3615、CVE-2018-3620、CVE-2018-3646）的指导声明，表示已发布多个更新以帮助缓解此漏洞，且目前暂未收到漏洞利用的消息。微软官方说明：https://portal.msrc.microsoft.com/zh-cn/security-guidance/releasenotedetail/ecb26425-583f-e811-a96f-000d3a33c573二、重要漏洞说明详情CVE编号漏洞名称严重程度漏洞描述CVE-2018-8414Windows Shell远程执行代码漏洞重要当Windows Shell未正确验证文件路径时，存在远程执行代码漏洞。要利用此漏洞，攻击者必须诱使用户打开特制文件，成功利用此漏洞的攻击者可以在当前用户的上下文中运行任意代码。CVE-2018-8373IE脚本引擎内存损坏漏洞重要脚本引擎在Internet Explorer中处理内存中对象的方式中存在一个远程执行代码漏洞，该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式来破坏内存。成功利用此漏洞的攻击者，可以获得与当前用户相同的用户权限运行恶意代码。CVE-2018-3615CPU侧信道缺陷导致信息泄露漏洞重要Intel官方公布三个侧信道缺陷导致信息泄露漏洞，攻击者可利用漏洞，通过侧信道攻击，越权读取敏感信息。CVE-2018-3620CVE-2018-3646（注：以上为重要漏洞，其他漏洞及详情请参见微软官方说明）三、漏洞级别漏洞级别：【重要】（说明：漏洞级别共四级：一般、重要、严重、紧急。）四、影响范围Windows Server 2008/ Windows Server 2008 R2/Windows Server 2012/ Windows Server 2012 R2/ Windows Server 2016等五、安全建议1、可通过Windows Update自动更新微软补丁修复漏洞，也可以手动下载补丁，补丁下载地址：https://portal.msrc.microsoft.com/en-us/security-guidance2、为确保数据安全，建议重要业务数据进行异地备份。注意：修复漏洞前请将资料备份，并进行充分测试。