龙潭政府公文系统：禄丰政府机关oa中SonarQube漏洞导致源码泄漏，开源网安代码审核平台实现国产化替代

龙潭政府公文系统：禄丰政府机关oa中sonarqube漏洞导致源码泄漏，开源网安代码审核平台实现国产化替代在日常工作中面临着大量的文件处理、信息共享与协作的挑战。为了提高政务效率、加强信息安全，政府电子政务oa系统应运而生。本文将探讨世 isite 服务器，窃取了 5g 物联网连接平台的源码； 在这里插入图片描述 10月23日，黑客声称已经拿到国家疾控中心 his 源代码； 10月25日，黑客声称拿到奔驰中国部分源代码； 10月26日，黑客更是声称公开了公安系统的医疗、保险、人事的 src 源代码； 在这里插入图片描述 在这里插入图片描述 在这里插入图片描述 黑客透露是通过 0day 漏洞从 sonarqube 服务器获取了关键信息，目前暂不清楚黑客


ai能干什么坏事？26位技术专家眼里的可怕未来 | 报告:

报告里，描述了这样一个假想场景：有一位大厦安全系统管理员jackie，上班的时候嘛，谁都难免刷刷微信上上微博，歪果仁嘛，就难免要看几眼facebook。 自主发现软件漏洞的技术，其实已经存在了，不少大公司、政府机构都利用这类技术来维护自身软件系统的安全。 6月3日，潜入进来的清扫机器人和往常一样，打扫着财政部的办公楼。这时，财政部长从它身边走过。sweepbot附带的人脸识别系统一下子就认出了它，也激活了接下来的任务。扑向他，引爆内置的炸弹。 报告中讲了这样一个“社会活动家”锒铛入狱的故事：avinash对于这个社会很是不满：到处是黑客，政府也不管。他在关心时事，看到了太多大公司为富不仁、政府无所作为的新闻，也写了不少抨击时政的博客。 刚下单没多久，警察把他从办公室带走了，罪名是他们的“社会动荡预测系统”认为他是潜在威胁。当然，这个故事可能还有另一面。avinash看到的那些新闻，虽然看起来有理有据，却还是有真有假。

马克龙宣布15亿欧元投资ai，deepmind拥吻巴黎:

deepmind巴黎实验室，会在remi此前丰盛的科研成果基础上，持续关注ai基础研究。不论是让ai系统学习执行多种任务的尖端方式，还是分布式强化学习等基础算法上的突破，都是他们发力的方向。 巴黎的科学底蕴毕竟，许多在世界人工智能领域有所成就的研究机构，总部都位于巴黎。 马克龙的“万有引力”一样是在昨天，法国总统马克龙在演讲中宣布，将启动关于人工智能的一项重要举措，吸引ai领域的攻城狮和科学家在这个国家开展自己的事业。? 到2022年，政府将会投入15亿欧元 (约合人民币116亿元) ，来推进ai行业的发展。他们希望，法国有一天可以在ai领域与美国和中国抗衡。 而自其执政以来，许多海外科技公司因为法国优渥的土壤，而选择在那里建立ai中心。

物联网智慧养老 玄武给出样本——建平台虚拟运营养老院，全区养老相关资源共享:

昨天，记者来到玄武区民政局，据了解，早在去年6月份，玄武区养老服务中心，就成立了江苏省首个区级居家社区养老服务一体化。 10分钟居家养老服务圈记者从玄武区民政部门了解到，玄武区常住人口65万，其中60岁以上老年人口约10万人，80岁以上老年人17787人。 据悉，索酷公司提供的智慧管理平台，以机构事务管理为基础，以医疗管理服务系统为支撑，集医疗、康复、养生、养老为一体，建设养老管理服务系统，使医疗资源与养老资源相结合，实现社会资源利用的最大化。? 方便的服务被市民点赞昨天上午，记者和上海的“参观学习团”一起还来到了玄武区孝陵卫的爱孝亲和家园养老服务中心，在服务中心记者见到，有很多前来居家养老的老年人都坐在一个被老人们称为“科技理疗区”的地方，聚集在像课桌一样的足浴桶前 记者了解到，这里的智能系统也来自索酷公司，可以将现场的视频上传到中心，以达到实时的监控。（爱南京·南京晨报记者 仲永 胡亮）玄武区建立了养老大数据地图。为老人们配备的能与互联网相连的产品。

多旋翼无人机入门原理:

最好是参加飞手正规培训，系统地学习无人机的基础知识，培训学什么，考试考什么，接下来针对这些准备了简洁易懂的解答。1、什么是无人机？ 无人机是一种由无线电遥控设备或自身程序控制装置操纵的无人驾驶飞行器。 航空摄影、货物运输、政府民生、石油勘测、遥感航测。8、多旋翼运用领域： 城市管理、农业、地质、气象、电力、电力巡检、抢险救灾、视频拍摄等行业。9、直升机运用领域？ 通过搭载云台与拍摄系统，进行第一人称视角的飞行。12、无人机起飞之前应该注意哪些检查？ 对飞机的检查：部件的衔接是否牢靠，布线是否安全，机载设备是否工作正常 对地面的检查：地面通讯、操作系统工作是否正常； 对环境的检查：周围环境是否适合作业及起降场地是否合理，空域有无申报。 （1）.无人机概述与系统组成 （2）.民航法规与术语 （3）.空域的飞行与申报 （4）.航空气象与飞行环境 （6）.无人机构造 （7）.飞行原理与性能 （8）.通信链路与任务规划 （9）.所使用的无人机系统特性

龙潭政府公文系统：禄丰政府机关oa中sonarqube漏洞导致源码泄漏，开源网安代码审核平台实现国产化替代

的应用，旨在为政府部门提供有关电子政务oa系统的全面了解与参考。一、政府电子政务oa系统的定义 政府电子政务oa系统，全称office automation software，是一种专为政府部门开发的办公自动化软件。它通过整合各类办公工具，如文档处理、电子邮件、日程安排、会议管理等，提供了高效的信息处理、共享与协作平台。二、政府电子政务oa系统的优势提升政务效率：政府电子政务oa系统将传统的纸质文件转化为电子文档，实现了信息的快速检索与共享。政府工作人员可以通过电子政务oa系统快速创建、编辑、传输与存储文件，大大缩短了文件处理时间，提高了工作效率。促进信息共享与协作：政府电子政务oa系统建立了一个统一的信息平台，实现了政府内部各部门之间的信息共享与协作。不同部门可以通过电子政务oa系统共享文件、通讯录、日程安排等信息，提高了政府工作的协同效率。强化信息安摘要 sonarqube被黑客攻破，是时候选择可靠的国产软件替代，开源网安codesec完全替代国外源代码扫描产品。 开源的代码质量管理平台 sonarqube 日前被黑客攻破，使得很多公司和机构开始紧急排查其设备或系统是否集成了 sonarqube，其中不乏一些国家机关单位，这次算得上是今年又一起影响较大的开源软件供应链攻击事件。 sonarqube 事件回溯 10月20日，黑客入侵了知名企业博世 isite 服务器，窃取了 5g 物联网连接平台的源码； 在这里插入图片描述 10月23日，黑客声称已经拿到国家疾控中心 his 源代码； 10月25日，黑客声称拿到奔驰中国部分源代码； 10月26日，黑客更是声称公开了公安系统的医疗、保险、人事的 src 源代码； 在这里插入图片描述 在这里插入图片描述 在这里插入图片描述 黑客透露是通过 0day 漏洞从 sonarqube 服务器获取了关键信息，目前暂不清楚黑客还入侵了哪些单位，但是任何使用了 sonarqube 的单位都应该做好管控源码服务器的安全工作，尽快离线 sonarqube 服务器，修改相应的包括但不限于 svn、gitlab 等账号密码。 早在2020年7月，美国媒体 bleepingcomputer 已有报道：瑞士安全研究员tillie kottmann 通过 sonarqube 的漏洞获取了50多家知名企业的源代码，其中包括微软、adobe、联想、高通、摩托罗拉、amd等大厂，并在 gitlab 公开库中发布出来。 高危漏洞：sonarqube 未授权访问 sonarqube 是一种开源的代码质量管理平台，可以集成不同的测试工具、代码分析工具以及持续集成工具。通过不同的插件对分析结果进行再加工处理，通过量化的方式度量代码质量的变化，并将结果展现到 sonarqube 可视化界面。 sonarqube 系统存在未授权访问漏洞，缺少对 api 接口访问的鉴权控制。该漏洞是由于 sonarqube 系统配置不当，导致平台项目暴露在公网当中，攻击者利用该漏洞在未授权的情况下访问公网 api 接口，使用系统默认配置口令进入平台，下载源代码文件，获取系统敏感信息。 cnvd 将该漏洞的危害级别评为“高危”，目前该漏洞 （cnvd-2021-84502）已被收录进了国家信息安全漏洞共享平台（cnvd）。 替代 sonarqube 成必然 去年的事件显然没有在国内引起关注，也没有针对该漏洞进行及时的防范，才所导致了此次开源软件供应链攻击。 为什么这次 sonarqube 事件对国家信息安全的威胁巨大？原因是国内使用 sonarqube 进行软件开发的公司和机构非常多。通过采招网等招投标网站查询，发现招标采购内容中包含 sonarqube 的项目很多。 比如：广西卫生监控数据中台建设招标、贵阳银行信息科技管理平台一起建设项目、银联商务代码质量管理工具、河北医疗保障局开发运维一体化平台、北京航空航天大学计算机学院项目、广东电网有限责任公司项目、工信部电子五所一体化研发仿真环境采购项目、中信银行内控合规一体化管理平台建设项目、北京海关总署新一代海关通关管理系统、上海银行质量服务平台和分布式支撑服务项目、中国科学院信息工程研究所源代码安全扫描软件项目、华泰证券软件产品采购项目、上海科技信息管理平台项目、中国太平洋保险（集团）制品库软件、湖南省税务局应用系统运维巡检与审查系统等都涉及 sonarqube 采购和应用。 这次攻击迫使国内很多机构的项目急寻可替代 sonarqube 的产品，应用存在漏洞的开源软件显然成为了威胁公司安全的重大隐患，对于机关单位来说更是成为了危害国家信息安全的毒瘤。 开源软件 vs 商业化软件 除了 sonarqube 之外，具有代码审核功能的开源软件还有 findbugs 的 sec 版、cobra 等，虽然它们以免费、轻量、便捷等优点吸引了大批用户，但直接使用开源软件做集成和开发，是远远达不到商业开发项目要求的安全标准。检测严重的代码缺陷问题覆盖度不够，且漏洞误报率高，和商业产品完全不在一个量级上，更不用说支持特定的语言、框架等功能。如果希望更安全地使用开源软件，需要投入更多的人力去为其做定制化开发或贡献开源代码，这显然对很多公司和人员要求过高了。 从另一方面来看，代码审核工具本身作为安全类软件，目的是保障研发阶段的代码安全，而在不成熟的软件供应链体系下，为求免费便捷而直接使用开源的代码审核工具，既不能保障软件自身的安全，更不能保障软件供应链的安全。 而商业化的代码审核工具，经过专业的安全人员和开发人员的多年打磨，产品已经相对成熟，符合国家和行业的安全开发要求，漏洞库全面、服务支持力度强并且输出可读性高的检测报告和代码级的漏洞修复报告。 国家对于信息安全的要求日益严格，将国外开源软件替换成国产自主研发的软件并应用到关键系统上，已成为亟待解决的重要任务，更是保护国家信息安全的重要措施。 然而，国产软件是否有能力承接这项任务，还需要对国产软件公司的实力进行对比。在国家政策和国际安全形势的驱动下，很多国产软件公司借势而起，尤其是在同类可选产品众多的情况下，如何选择可靠的国产软件也成为了一项难题。 面对同类产品的选择，既要对比功能、性能、价格等条件，也要深入考量国产软件公司的服务支持能力，甚至考虑其是否应用了安全开发流程，来保障软件自身安全。 开源网安 codesec 代码审核平台 开源网安完全拥有“自主知识产权”，十年磨一剑，专注“软件安全”行业，其主要产品 codesec 代码审核平台是全新一代静态应用安全测试（sast）解决方案，主要用于软件代码安全审核和质量分析，提供漏洞详情和修复方案，不但可替代 sonarqube 的代码审核能力，还具备更出色的功能亮点： 更安全的代码审核工具，开源网安拥有多年的 s-sdlc 的实施经验并且完全应用在自身产品上，使得 codesec 相比于同类产品更加安全可靠。 代码扫描更准确更高效，误报率远低于国产同类产品，支持多引擎分布式部署，并行扫描无上限； 强大的扩展性和易用性，支持多种扫描方式并集成其他扫描引擎，更可以无缝对接各类 devops 平台和缺陷管理平台； 优秀的安全检测能力，不但支持第三方漏洞库扫描，而且具备开源组件检测（sca）能力，为软件供应链安全进一步提升保障； 去专业化描述更适合国内开发人员，快速定位漏洞问题并给予代码级修复方案，描述符合开发人员思路，更易于理解； 提供完整的 cwasp 开发安全认证培训，开源网安的核心自研课程，全方位提升开发人员的“安全开发”意识。 codesec 依托开源网安强大的产品交付和安全服务能力，为客户提供多维度、专业化的原厂技术支持，成功案例遍及金融、通信、能源、测评机构等行业。

你手中的代码，可能变成他们的子弹:

by 超神经今天在新加坡进行的朝美会谈，美国总统特朗普与朝鲜最高领导人金正恩进行历史性会晤并签署文件。近期的国际局势，真的会因为今天的历史性握手，而太平么？ 34 岁的金正恩与 72 岁的特朗普，代表敌对了近 70 年的朝鲜与美国，在新加坡嘉佩乐酒店，把手握在了一起，时间大约 13 秒。? 朝鲜近年的核计划、美军主动攻势、俄罗斯和中国的旁观防守态度，国际局的势风云诡谲，都让整个世界陷入阶段性焦虑。 今天刷屏的「白头山天降伟人」伟大领袖金正恩将军所领导的朝鲜，在人才竞赛上就比较尴尬了，本来国内能成为大学的学校就屈指可数。而计算机科学领域，也就金策工业综合大学能拿得出手，可以说人才匮乏。? project maven 这个项目，最早是由内部员工爆料，当时 google 正通过一家私密的中间公司为美国军方提供 ai 方面的知识和技术支持，帮助美军发展无人机 ai 系统，并允许军方使用 google

人民日报推文：欢迎google重返中国大陆，但必须遵守中国法律:

大数据文摘编辑部作品谷歌返华事件终于有了官方回应。 人民日报昨日也在facebook上发布了评论文章表态欢迎，这意味着至少在政策层面，中国政府是欢迎谷歌入华。但是大陆本土的搜索引擎市场一直被互联网巨头百度所占据，谷歌的回归是否能够打破这一格局？ 美国媒体纽约时报在上周也发文表示，谷歌的多个工程师团队正在开发一种搜索应用程序，能够限制被北京禁止的内容，并且，谷歌已经向中国官员展示了这项服务。 尽管这一消息尚未得到证实，但许多西方媒体、美国政界人士和人权活动人士很快对该公司嗤之以鼻，指责其屈服于中国的审查制度，并谴责其举动是打了互联网自由的一记响亮的耳光。 推文中，人民日报认为谷歌有决心和信心在如此庞大的市场中重新站稳脚跟。并且，对外开放是中国社会的共识，也是中国人民的一个基本认识，因此这也加强了谷歌想要重返中国的想法。

04 | 身份认证：除了账号密码，我们还能怎么做身份认证？:

基于你之前提出的“黄金法则”，面试官问道：“黄金法则的认证（authentication）部分不就是账号密码吗？这么简单的东西，有必要考虑得那么复杂吗？” 首先，身份认证不仅仅是一个输入账号密码的登录页面而已，应用的各个部分都需要涉及身份认证。在我看来，身份认证可以分为两个部分：对外认证和对内认证。 ▌身份认证的安全怎么保证？ 在了解了身份认证环节会面临的各种威胁，以及这些威胁可能产生的影响之后，你可能要问了，我们应该怎么解除这些威胁呢？ jwt 适用范围广，在单点登录的选取上面，如果想要将用户信息做统一管理，选择它最为简单；如果认证中心只是被用来维护账号密码，由业务去维护用户所绑定的其他手机等信息，那么，采用 oauth 更合适。 ▌思考题 好了，学习了今天的内容，你现在可以来思考一下面试官的问题：怎么做好认证？ 这里我先给你提供一个思路。首先，你需要告诉面试官，公司目前存在哪些认证问题。

捷报! 腾讯云 tstack 斩获 2017 openstack superuser 大奖:

同时，腾讯公司宣布加入openstack基金会，成为其黄金会员，全力支持开放源代码云计算平台的开发。 ▲腾讯云tstack团队上台领奖 openstack基金会是一家旨在推动openstack云操作系统在全球发展、传播的非盈利组织，成立于2012年。 该基金会目标是在全球范围内服务开发者、用户及整个生态系统，为其提供共享资源，以扩大openstack公有云和专有云的成长，从而帮助技术厂商选择平台，助力开发者开发出行业最佳的云软件。 作为腾讯“互联网+”战略的重要平台和技术开放总出口，腾讯云已将tstack平台以及运营服务经验推广到中国政企市场，并与全国15多个省、50多个城市签署合作协议，为包括四川省政务云、广东省政务云、云南公安厅警务云等在内的各级政府和企业构建基于 在今年9月于厦门举行的金砖国家会议上，腾讯云部署了基于openstack构建的政务云，并与腾讯云安全团队共同为会晤期间的云上安全保驾护航，获得厦门政府的热情点赞。

转载请注明出处,本站网址：http://www.831209.com.cn/news_1704.html