在刚刚过去的315晚会上，央视曝光了某些第三方开发的SDK包存在违规收集用户个人信息的情况，导致隐私泄露问题。对此，工信部已要求依法依规严厉查处涉事企业，并表示将采取常态化监管措施，加强移动互联网应用程序APP综合治理，...

谈华为安全，缺一漏万，笔者认为其是在SDL领域国内最强的公司，其建设的难点也同互联网公司迥然不同，在于历史债务如何处理，如何做工程化，下面简单介绍下软件安全能力建设的部分。笔者希望华为可以更多分享一些安全设计的机制...

随着云计算的到来，越来越多的企业会将自己的业务和服务上云，托管到云上，公有云提供的技术和服务也让企业客户数字化业务的构建方式发生了变化。随之而来的，包括我们安全领域的API安全等，都是由于这些变化而产生的。那么云...

Xcheck是腾讯自研的静态应用安全测试(SAST，Static application security testing)工具。现已支持Python、NodeJS、PHP、Java 、Go五中语言的代码安全检测。

Java作为企业主流开发语言已流行多年，各种java安全编码规范也层出不穷，本文将从实践角度出发，整合工作中遇到过的多种常见安全漏洞，给出不同场景下的安全编码方式。...

今日，Oracle官方发布WebLogic安全更新，其中修复了一个CVSS评分为9.8的严重漏洞(CVE-2020-14645)，该漏洞通过T3协议和IIOP协议进行利用，攻击者可以实现远程代码执行，进而控制服务器。由于漏洞利用复杂度低，风险高，建议尽快修...

工作久了的话，就会慢慢有种感觉：代码都是人写的，是人写的代码就可能存在漏洞，这个是永远都无法避免的，任何牛X的程序员都不可能写出完全没有bug的代码！ 其实关于序列化的安全性问题，无论是Java原生的序列化技术还是很多其他...

之前在某厂的某次项目开发中，项目组同学设计和实现了一个“引以为傲”，额，有点扩张，不过自认为还说得过去的 feature，结果临上线前被啪啪打脸，因为实现过程中因为一行代码（没有标题党，真的是一行代码）带来的安全漏洞让我们丢失...

本文通过示例说明，在 Springboot 中如何自定义 Validator，以及如何实现国际化的错误信息返回。注意，本文代码千万别直接照抄，有可能会出大事情的。先留个悬念，读者朋友们能从中看出有什么问题吗？...

近日，腾讯云安全运营中心监测到，F5 发布了BIG-IP TMUI（流量管理用户接口）的远程代码执行风险通告（漏洞编号为 CVE-2020-5902），未授权的远程攻击者通过向漏洞页面发送特制的请求包，可以造成任意 Java 代码执行，进而控制 F5 BIG-...