近日，腾讯安全云鼎实验室监测到国外安全团队披露了SaltStack管理框架的多个安全漏洞（CVE-2020-11651/CVE-2020-11652），攻击者可利用该漏洞实现远程代码执行。 为避免您的业务受影响，腾讯安全云鼎实验室建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。 【风险等级】 严重 云鼎实验室监测到互联网上已出现漏洞攻击利用行为，建议用户尽快修复 【漏洞风险】 漏洞被利用可能导致机器被远程控制，感染挖矿病毒或业务不可用 【漏洞详情】 Saltstack

从The DAO到BEC，SocialChain，Hexagon，再到EOS漏洞，“智能合约”已经成为区块链安全的重灾区。智能合约安全漏洞频现并非偶然，其落地推广可能还需经历一个漫长的技术突破期。

精 英 招 募 令 腾讯云全资子公司（西安&武汉）技术岗招聘，欢迎推荐与转发 虚位以待 01 云产品安全运营工程师 工作地点 武汉 岗位职责 （1）跟进安全流程落地 （2）负责安全流程审批 （3）安全数据运营分析 （4）负责推动风险的处置措施和不符合项的整改措施 （5）负责安全应急响应，重点项目保障 岗位要求 （1）本科及以上学历，两年及以上工作经验  （2）Web安全基础扎实，了解常见Web漏洞原理 （3）有比较好的沟通协调和项目管理能力 （4）有渗透测试 或 安全开发工作经验者优先 （5）有过

获得遵守权对组织是重要的，而这对客户也很重要，因为他们需要依赖组织的合规性认证、评估和审核来做出购买决定。对于规定开展交易要求并最终执行审计的监管者来说，这一点很重要。而且对于组织来说，需要避免遭受昂贵的监管罚款、危险的违规行为，从而导致组织的声誉受损。 随着最好的软件工具转向云端，许多企业都担忧不能充分利用它们。在外部控制系统上维护安全性和遵从性标准可能会让人望而生畏。或者更糟的是，管理者可能会认为，由于服务和数据不在他们的数据中心运行，这让他们有些无所适从。行业机构最近发布了关于云计算安全合规性中的

导语 | 随着互联网技术的不断迭代更新，信息安全领域的内涵也在不断发展，安全研发技术的地位也愈加凸显。本文作者来自腾讯安全云鼎实验室，新近参与了《研发运营一体化(DevOps)能力成熟度模型》等安全部分标准制定，此次来和大家分享他对研发安全以及DevSecOps的理解和实践尝试。 随着云计算被普遍运用，微服务等基础架构的成熟，同时企业业务高速发展带来的对开发运维更高效的要求，企业开发运维模型也从传统的瀑布模型演变到敏捷模型再到DevOps。 而安全模型也随之改变，但其核心一直都是贯穿始终以及更前置的安全。

如今，一切都在数字化。 我们曾经存储在相册中的照片通常不再打印; 他们存储在在线相册。 而且很少有人再用实际的纸质计划者来追踪他们的生活。 相反，每日提醒和约会都存储在数字日历中。 更重要的是，很少有人维护手写分类帐来跟踪他们的银行账户。有网站和应用程序为他们工作，并允许轻松访问这些数据。 与此同时，多个行业的公司都将数字化存储所有文件和数据。数字网络从财务记录到人事档案都存储公司的内部数据。数据公司从客户处收集的数据也经常以这种方式存储。 听起来很不错 - 除了事实上，有这么多事情发展到数字化，我们越

guolong，云鼎实验室高级研究员，负责云原生安全的研究和腾讯云原生安全架构设计和落地实施。 摘要 容器安全作为云原生安全的重要组成部分，为用户业务的云原生落地提供了基础的安全保障。腾讯云凭借多年来在容器安全以及云原生安全领域的研究和实践运营经验，同时结合腾讯云容器平台 TKE 千万级核心规模容器集群治理经验，提出云原生容器安全体系框架，助力用户安全的实现云原生落地。 概述 容器作为云原生重要的支撑技术，近年来被广泛的认可和应用。根据《中国云原生用户调查报告（2020）》[1]显示，60%以上用户已在

guolong，云鼎实验室高级研究员，负责云原生安全的研究和腾讯云原生安全架构设计和落地实施。

image.png 大数据似乎在一夜之间迅速走红，它势不可挡地冲击着金融、零售等各个行业。云计算将如何改变计算的世界？未来将有怎样的应用前景？如何解决“信息孤岛”的问题？大数据又将如何提高我们决策的准确性，帮助我们更准确地预测未来？ 在2014年7月25日腾讯互联网与社会研究院主办的“大数据连接的未来——2014腾讯互联网与社会研究院高峰论坛”上，腾讯公司云平台部总经理陈磊分享了《大数据背后的技术支撑》。 腾讯公司云平台部总经理陈磊 大数据背后的技术支撑 我今天重点讲讲大数据背

当谈及使用公共云时，安全性问题是企业IT人士的头号关注问题。使用五个专家提示，可以帮助用户确认最适合他们的安全工具与安全策略。 云计算给业界带来了许多的利好——包括可扩展性、弹性以及成本降低，但是有部分企业仍然对放弃内部部署系统而使用公共云持谨慎态度。他们的忧虑大部分来源于，他们认为从本质上来说云安全性要低于传统IT系统。关于哪一种模式更安全的争论还在持续，但是争论双方都一致认为安全性问题仍然是任何IT环境中最受到关心的问题。 随着混合云与多重云模式的出现，云的复杂性进一步提升了。有鉴于此，供应商们开发了新

由腾讯安全云鼎实验室联合GeekPwn发起的 全球首个基于真实通用云环境的云安全挑战赛 今天下午正式结束。 来自紫荆花、复旦白泽、0ops、AAA、Nu1L、r3kapig 六支国内安全强队，在为期8小时的紧张攻防对抗后，最终0ops战队率先突破9道赛题，累计得到2210分，拿下云安全挑战赛一等奖，复旦白泽、r3kapig分列二、三位。 集结“攻坚力量”，对决云端安全 参加此次云安全挑战赛的战队成员来自清华大学、复旦大学、上海交通大学、浙江大学、京东、盘古等高校及企业，几乎集结了学术圈与产业界的“攻坚

如今，云计算正在不断改变组织使用、存储和共享数据、应用程序以及工作负载的方式。但是与此同时，它也引发了一系列新的安全威胁和挑战。随着越来越多的数据进入云端，尤其是进入公共云服务，这些资源自然而然地就沦为了网络犯罪分子的目标。公共云的利用率正在快速增长，因此不可避免地将会导致更多的敏感内容置于潜在风险威胁之中。但是，与许多人认为的刚好相反，保护云端中的企业数据的主要责任不在于云服务提供商，而在于云客户本身。我们正处在一个云安全过渡期，重点正从供应商转向客户。很多企业开始认识到，花费大量时间来判断某个特定的云服...

如今，云计算正在不断改变组织使用、存储和共享数据、应用程序以及工作负载的方式。但是与此同时，它也引发了一系列新的安全威胁和挑战。随着越来越多的数据进入云端，尤其是进入公共云服务，这些资源自然而然地就沦为了网络犯罪分子的目标。公共云的利用率正在快速增长，因此不可避免地将会导致更多的敏感内容置于潜在风险威胁之中。但是，与许多人认为的刚好相反，保护云端中的企业数据的主要责任不在于云服务提供商，而在于云客户本身。我们正处在一个云安全过渡期，重点正从供应商转向客户。很多企业开始认识到，花费大量时间来判断某个特定的云服...

根据调研机构Gartner公司的调查，全球90%的企业正在使用某种云服务。然而，多云正在成为构建真正动态设施的下一步。在多个云计算提供商提供的云平台之间动态地运行工作负载，可让企业确保工作负载得到真正的优化。 毫无疑问，2017年对于采用云计算服务的企业来说是重要的一年。根据调研机构Gartner公司的调查，全球90%的企业正在使用某种云服务。然而，多云正在成为构建真正动态设施的下一步。在多个云计算提供商提供的云平台之间动态地运行工作负载，可让企业确保工作负载得到真正的优化。事实上，Gartner公司的研究

根据调研机构Gartner公司的调查，全球90%的企业正在使用某种云服务。然而，多云正在成为构建真正动态设施的下一步。在多个云计算提供商提供的云平台之间动态地运行工作负载，可让企业确保工作负载得到真正的优化。 毫无疑问，2017年对于采用云计算服务的企业来说是重要的一年。根据调研机构Gartner公司的调查，全球90%的企业正在使用某种云服务。然而，多云正在成为构建真正动态设施的下一步。在多个云计算提供商提供的云平台之间动态地运行工作负载，可让企业确保工作负载得到真正的优化。事实上，Gartner公司的研究

现在企业的网络安全现状不乐观，如果企业对此无动于衷，他们将有一半的机会成为下一个被攻击的目标。如果企业的云计算资产配置不正确、不进行持续监控和更新，那么业务可能会受到攻击。本文介绍了企业确保云资产安全的五个提示。

绿盟科技自2012年开始研究并打造云计算安全解决方案，并于2022年正式推出“T-ONE云化战略”，将安全产品与方案全面向云转型，并构建开放的云化生态。本文将对绿盟科技的云计算安全风险与发展的认知、价值主张、合作体系、参考体系、技术体系与建设方案进行阐释。因篇幅限制分为上中下三篇，本篇为下篇。上篇链接：绿盟科技云安全纲领（上）；中篇链接：绿盟科技云安全纲领（中）

《越南在2017年因计算机病毒损失超过5.4亿美元》摘要总结：文章介绍了越南在2017年因计算机病毒造成的损失情况，其中提到BKAV预测越南将继续面临恶意软件攻击，如勒索软件和包含加密挖掘工具的恶意软件。黑客通常选择拥有大量用户的网站来安装包含加密挖掘工具的恶意软件，以利用网站漏洞进行传播。同时，文章指出越南的网络安全主要集中在不安全的物联网设备和虚假新闻上。勒索软件成为越南2017年网络安全主要威胁之一，其中WannaCry病毒在短短几个小时内蔓延至90多个国家，造成严重损失。因此，越南的网络安全状况堪忧，需要采取措施加强网络安全防护，以保障国家和人民的利益。

电子邮件的普遍应用，有效提高了我们工作和生活的通信效率；但也衍生出“邮件篡改、病毒邮件、垃圾邮件、邮件炸弹”等一系列安全问题。下图中的一系列数据，更是直观揭露了人们邮件安全意识薄弱这一客观事实。 先来看两个黑客利用邮件安全漏洞谋取利益的真实案例。 案例1 一个大型国企的财务人员收到经理的邮件，示意他应该给A公司结款，财务人员经过审核发现，确实到 了结款时间，于是通过财务系统把钱转给了“A公司”。然而，过了几个月，真正的A公司找到这家企业，要求结款。这时公司才发现，原来之前的几百万根本没有汇进A公司的账

guolong，云鼎实验室高级研究员，负责云原生安全的研究和腾讯云原生安全架构设计和落地实施。 摘要 容器安全作为云原生安全的重要组成部分，为用户业务的云原生落地提供了基础的安全保障。腾讯云凭借多年来在容器安全以及云原生安全领域的研究和实践运营经验，同时结合腾讯云容器平台 TKE 千万级核心规模容器集群治理经验，提出云原生容器安全体系框架，助力用户安全的实现云原生落地。 概述 容器作为云原生重要的支撑技术，近年来被广泛的认可和应用。根据《中国云原生用户调查报告（2020）》[1]显示，60%以上用户已在