sanduo blog

API BOM - ASPM数据关联分析纽带

Wed, 14 May 2025 23:36:45 -0400

API BOM - ASPM数据关联分析纽带API BOMAPI物料清单(API BOM)，这个概念是之前调研ASPM厂商OX Security提出的一个概念，目前没有统一的定义，可以参考软件物料清单(SBOM)。笔者在做ASPM数据分析调研的时候，主要的目的是需要寻求一种合理的方式对多个安全平台收集的数据进行去重分析，早期可以通过制定统一的漏洞分类分级标准，使用CWE编号或者支持统一的漏洞编号，

_{-- Delivered by RssEverything service}

今年的冬天真冷

Wed, 14 May 2025 23:36:38 -0400

今年的冬天真冷真心不清楚这篇博文该以什么样的形式开头，写了删，删了写，也无法抒发内心种种不甘，直到今天拿到离职证明，一切尘埃落定，四年时光如白驹过隙，一晃而过，百感交集。 21年从nsfocus离职的时候，当时也是受了委屈，看着前辈们意气风发，指点江山，激昂澎湃，自己却被蛀虫掣肘，由于直系领导都离职了，蛀虫看人下菜碟，欺负年轻人没背景，好好的项目拱手让人，当时还被蛀虫倒打一耙，说我这边项目报价有

_{-- Delivered by RssEverything service}

fortify sca rules 标签介绍

Wed, 14 May 2025 23:36:34 -0400

fortify sca rules 标签介绍 RulePack标签分析123456789101112131415161718192021222324RssEverything service

AIGC安全评估

Wed, 14 May 2025 23:36:29 -0400

AIGC安全评估背景介绍最近有朋友问到AIGC安全评估的一些问题，最近做了一些调研，因为博主视野有限，文章不足之处请谅解。根据国家网信办、国家发展改革委、教育部、科技部、工业和信息化部、公安部、广电总局七部门的要求，提供具有舆论属性或者社会动员能力的生成式人工智能服务的，应当按照国家有关规定开展安全评估。评估政策依据基本法规《中华人民共和国网络安全法》《中华人民共和国科学技术进步法》《中

_{-- Delivered by RssEverything service}

软件供应链健康度评估之scorecard

Wed, 14 May 2025 23:36:20 -0400

软件供应链健康度评估之scorecard Scorecard介绍Scorecard是一个自动化工具，评估开源项目的健康度。Scorecard通过评估与开源项目安全性相关的一系列指标项，每项10分。可以使用这些评分来了解需要改进的具体领域，以增强项目的安全性。同时，还可以评估依赖项带来的安全风险，如接受这些风险、评估替代方案或与维护者合作进行改进。注意：由于scorecard项目不断迭代更新，检测

_{-- Delivered by RssEverything service}

MinerU 介绍

Wed, 14 May 2025 23:36:16 -0400

MinerU 介绍背景介绍处理监管文档会遇到一个比较操蛋的问题就是部分文档只有pdf格式的，并且pdf是扫描版本的，无法直接读取pdf，利用多模态进行处理，目前口袋有比较紧张，最近发现一个宝藏项目，MinerU，子项目(PDF-Extract-Kit)，可以识别pdf，将pdf转成md，方便数据处理和LLM进行对话。介绍MinerU 是一款一站式、开源、高质量的数据提取工具，主要包含以下功能:

_{-- Delivered by RssEverything service}

纪念与W工作的三年

Wed, 14 May 2025 23:36:10 -0400

纪念与W工作的三年背景介绍三年前与W先后加入当前公司，一起研发打磨产品，从概念到demo再到客户侧落地，一起经历疫情。有空喝酒吹牛皮，没事角落一起吸二手烟，纵使工作压力山大，但是大家热情高涨，三年虽然不长，但是大家欢乐不少。其中有争执，有协作，总之磕磕绊绊，愉快度过三年。 24年Q2，大家忙着新产品的迭代更新，公司引入新的研发领导，技术能力未知，但是拉帮结派、向上汇报、PUA下属的能力没谁了，以

_{-- Delivered by RssEverything service}

mqtt-pwn 介绍

Wed, 14 May 2025 23:36:01 -0400

mqtt-pwn 介绍背景介绍最近在学习车联网相关知识，碰巧媳妇公司CTF题目中有一道车联网的题目，题目方向是MQTT，发现一个mqtt测试工具：mqtt-pwn，这里做记录和学习一下。 mqtt 安全风险相关授权：匿名连接问题，匿名访问则代表任何人都可以发布或订阅消息。如果存在敏感数据或指令，将导致信息泄漏或者被恶意攻击者发起恶意指令；传输：默认未加密，则可被中间人攻击。可获取其验证的用户

_{-- Delivered by RssEverything service}

mqtts 介绍

Wed, 14 May 2025 23:35:54 -0400

mqtts 介绍背景介绍最近在学习车联网相关知识，碰巧媳妇公司CTF题目中有一道车联网的题目，题目方向是MQTT，正好可以深入研究一下。 mqtts介绍mqtts是一款mqtt安全测试工具，github地址：https://github.com/SPuerBRead/mqtts 主要功能包括如下：匿名登陆 (批量) emqx embox_plugin_template 任意用户名密码登陆 (

_{-- Delivered by RssEverything service}

不吐不快

Wed, 14 May 2025 23:35:53 -0400

不吐不快背景Feeling terrible, need to vent. 不吐不快最近工作生活一团糟，具体就不详细描述了，总之，就是你让我不爽，你也别好过。分享几条至理名言(毒鸡汤)与各位共勉。忍一时乳腺增生，退一步子宫肌瘤，让一下甲状腺结节，憋一下卵巢囊肿，骂一顿海阔天空。有仇当日报，不隔夜最牛逼。别人沾沾自喜的时候，直接把他当空气。要有看小丑一样的态度，对待仇人。仇人越是重视什

_{-- Delivered by RssEverything service}