这为开发者提供便利的同时，也隐含着漏洞反馈和修复滞后的潜在风险。开源项目一旦被广泛使用，一 方面漏洞信息散落在各类开发者手中，能否及时被官方收录是一个挑战 ；同时另一方面，如果软件使用 者跟踪漏洞修复不及时，则其被攻击的风险将大大提升。 专家点评 姜宁：开源组件的使用并不是没有成本的。 一般来说开源软件许可中都包含了一个不提供质保的声明。 如果 想要比较好解决开源项目代码安全风险的问题 ，公司要么投入人力参与上游项目的开发， 000 次利用 Log4j 漏洞的尝试。有不法分子利用远程代码执行漏洞窃取云基础设施，部署加密货币矿 工和勒索软件。据 Check Point 的统计表示，全球近一半企业因为该漏洞受到了黑客的试图攻击。 图表 20 ：受 Log4j 漏洞影响的企业网络的区域统计 资料来源：Check Point Research，云启资本 90 3.3.3 云厂商竞争风险 与使用开源项目但不回馈的公共 组织高度复 杂的供应链攻击 软件更新包后门 导致包括美国关键基础设施、军 队、政府等在内的超过 18000 家 客户全部收到影响，可任由攻击 者操控 2 2021 年 2 月 安全研究任由通过利用开 源生态安全机制上的漏洞， 实施依赖混淆攻击 开源生态机制漏洞 成功侵入了微软、苹果、PayPal、 特斯拉、优步等 35 家国际大型科 技公司的内网 3 2021 年 3 月 攻击者向 git.php

的特点，这为开发者提供便利的同时，也隐含着漏洞反馈和修复滞后的潜在风险。开源项目一 旦被广泛使用，一方面漏洞信息散落在各类开发者手中，能否及时被官方收录是一个挑战；同 时另一方面，如果软件使用者跟踪漏洞修复不及时，则其被攻击的风险将大大提升。 Security risks arising from vulnerabilities in open source components are also an essential 000 次利用 Log4j 漏 洞的尝试。有不法分子利用远程代码执行漏洞窃取云基础设施，部署加密货币矿工和勒索软件。 据 Check Point 的统计表示，全球近一半企业因为该漏洞受到了黑客的试图攻击。 Apache Log4j, a world-renowned open source logging component, was exposed to a severe high-risk 2020 年 12 月 全球著名的网络安全管 理软件公司 SolarWinds 遭遇国家 级 APT 组织高度复杂 的供应链攻击 软件更新包后门 导致包括美国关键基础设 施、军队、政府等在内的超 过 18000 家客户全部收到影 响，可任由攻击者操控 2 2021 年 2 月 安全研究任由通过利用 开源生态安全机制上的 漏洞，实施依赖混淆攻 击 开源生态机制漏

KSOC推出业内首个实时 Kubernetes安全态势管理平台 近日，KSOC推出业内首个实时Kubernetes安 全态势管理平台。Kubernetes安全态势管理平 台可以通过实时上下文以及当前和历史信息准 确定位攻击活动，同时还可以根据集群的当前 状态提供可操作的补救措施。具体功能包括： • 实时态势管理，发现基于事件的错误配置； • 汇总并找到Kubernetes RBAC中的过度权限； • 防止部署不合规的工作负载，减少潜在爆炸 近日，微软发布了一个补丁，用于修复Secure Boot绕过漏洞。在2023年1月份，微软释出补 丁修复了编号为CVE-2022-21894的漏洞，但 攻击者很快找到了绕过方法。本次释出的补丁 修复了新漏洞CVE-2023-24932。微软称，该 漏洞可能被拥有物理访问系统或管理员权限的 攻击者所利用。该修复措施与许多优先级较高 的Windows修复措施存在显著差异，新补丁不 会默认启用，它涉及到对Windows启动管理器

发者需要投入额外精力进行适配和修改。 安全隐患。生成代码在处理用户输入、文件操作和网络请求等敏感操作时，容易忽略安全性， 导致潜在漏洞。例如，未对用户输入进行验证可能引发 SQL 注入或 XSS 攻击，文件路径处理不 当可能导致目录遍历或未授权的文件读写，网络请求中未正确加密数据可能导致信息泄露。这些 问题增加了代码在生产环境中的风险，可能被恶意利用。 法律和版权问题。大模型生成的代码可能

负责对安全事件应急响应和溯源分析，保证核⼼业务稳定运⾏
3.跟踪安全动态，研究前沿安全技术，对互联⽹重⼤安全漏洞进⾏响应分析



职位要求：

1.⼤学本科及以上学历，3年以上云安全相关从业经验；

2.熟悉常⻅攻击⽅式和防御措施，包括漏洞及漏洞成因、渗透思路和对应防御⽅法；

3.熟悉隐私和数据安全，了解数据分级分类与相关技术和产品；

4.具备脚本编写和代码编写能⼒，熟悉⾄少⼀种脚本语⾔

5.