XiaoMi-AI文件搜索系统
World File Search Systemcve
分布式能源供应链网络安全差距分析
ARIES 综合能源系统高级研究 C2M2 网络安全能力成熟度模型 CECA 清洁能源网络安全加速器 CIP 关键基础设施保护 CISA 网络安全与基础设施安全局 CVE 常见漏洞与暴露 CVSS 通用漏洞评分系统 CWE 常见弱点枚举 CyTRICS 弹性工业控制系统网络测试 DER 分布式能源资源 DER-CF 分布式能源资源网络安全框架 DHS 美国国土安全部 DOC 美国商务部 DOE 美国能源部 ENISA 欧盟网络安全局 ES-C2M2 电力子行业网络安全能力成熟度模型 HMAC 基于散列的消息认证码 IBR 基于逆变器的资源 ICS 工业控制系统 ICT 信息和通信技术 IEC 国际电工委员会 IEEE 电气电子工程师协会 NATF 北美输电论坛 NERC 北美电力可靠性公司 NIST 国家标准与技术研究所 NREL 国家可再生能源实验室 NVD 国家漏洞数据库 PLC 可编程逻辑控制器SBOM 软件物料清单
总体情况
该交易所的使命有三点:• 加速技术商业化!• 向股权融资来源介绍先进电子领域的早期技术公司。• 促进北美东北部和纽约的区域创新生态系统成员与在先进电子领域运营的大型企业风险投资组织之间的关系。参与的企业风险投资机构 Applied Ventures、英特尔投资(虚拟)、TEL Ventures、LAM Capital、Ngrid Invest、NYS Innovation Fund • 目标投资额 200 万至 1 亿美元 目标公司参数(注意!公司费用为 500 美元) 先进电子 (AE) 设备驱动的智能电网、医疗设备、自主操作、先进通信、传感器阵列、人工智能设备技术、边缘计算应用程序、无晶圆厂 IC 公司、国防技术等。 23 家公司参与 迄今为止 26 场后续会议大部分仍在进行中 2020 年计划 3 个实时 CVE,新增 5 个企业风险投资机构,每半月一次的网络研讨会
尊敬的南希·佩洛西 美国众议院议长 华盛顿特区 20515
AP Alternatives, LLC Apex Clean Energy Arcimoto Arevon Associated Energy Developers Atlantic Shores Offshore Wind AVANGRID Aypa Power BayWa re US Birch Infrastructure, PBLLC Black & Veatch Corporation Black Bear Energy Inc. Blattner Energy Blue Ridge Power, LLC Borrego Energy Boviet Solar US Ltd. bp America Bright Power Broadwind Caelux Corporation Capital Power Carolina Mountain Solar Carolina Solar Energy III, LLC Catalyze CED Greentech HQ Chaberton Energy CHW Editorial LLC Citrine Power LLC Clean Energy Associates, LLC CleanCapital CleanChoice Energy CleantTech Docs, Inc. Clearway Energy Group Colite Technologies Consolidated Edison, Inc. Construction Innovations Convergent Energy + Power Copia Power Cosmic Solar, Inc. Current Home Inc CustomerFirst Renewables CVE North America, Inc. Cypress Creek Renewables DE Shaw & Co., LP DARE Strategies, LLC Delorean Power Direct Connect Development Co LLC Distributed Sun LLC
软件保障指导和评估 (SAGE) 工具
1.3 软件保障计划确定了团队将采取的步骤,以确保“在整个生命周期中,软件能够按预期运行,并且不存在有意或无意设计或作为软件一部分插入的漏洞” [软件保障定义,P.L. 112-239 § 933, 2013]。6 有时,软件保障计划是总体程序保护计划 (PPP) 文档中的一个部分。无论是 PPP 内部的一个部分还是其自己的文档,软件保障计划都应包括防止漏洞在系统中持续存在的对策。应根据明确的定义对安全关键系统和组件进行识别和分类,该定义确定了系统或组件安全关键性的原因。应根据通用漏洞枚举 (CVE ® )、7 通用弱点枚举 (CWE ™ )、8 通用攻击模式枚举和分类 (CAPEC ™ ) 9 和 CERT 规则和建议对这些组件和系统进行评估。10 存在弱点的安全组件和系统的解决方案或缓解策略应记录在软件保证计划中。在整个生命周期中,参考软件保证计划非常重要,以确保记录的步骤得到实施、准确且相关,以适当避免漏洞,并且不会产生负面影响
![arXiv:2310.12419v2 [cs.CR] 2024 年 6 月 6 日](/simg/g:\will\search\icon\source\f\f0c960cb0da1202222e3b6f934d6ea05a542d293.png)
arXiv:2310.12419v2 [cs.CR] 2024 年 6 月 6 日
在本文中,我们提出了一种名为 AFLR UN 的新型定向模糊测试解决方案,其特点是目标路径多样性度量和无偏能量分配。首先,我们通过维护每个覆盖目标的额外原始地图来开发一种新的覆盖度量,以跟踪击中目标的种子的覆盖状态。这种方法可以将通过有趣路径击中目标的航点存储到语料库中,从而丰富每个目标的路径多样性。此外,我们提出了一种语料库级能量分配策略,确保每个目标的公平性。AFLR UN 从均匀的目标权重开始,并将该权重传播到种子以获得所需的种子权重分布。通过根据这种期望的分布为语料库中的每个种子分配能量,可以实现精确且无偏的能量分配。我们构建了一个原型系统,并使用标准基准和几个经过广泛模糊测试的真实应用程序评估了其性能。评估结果表明,AFLR UN 在漏洞检测方面的表现优于最先进的模糊测试器,无论是数量还是速度。此外,AFLR UN 在四个不同的程序中发现了 29 个以前未发现的漏洞,包括 8 个 CVE。
乔恩·布雷德·斯考格
降低复杂性我创建了一个抽象层,使其易于采用并集成到平台运营的各个方面。我承担了规划和执行后端系统架构的主要责任,重点是采用现代和可扩展的方法。通过设置单一存储库结构,我促进了微服务的集成和管理,增强了开发工作流程和运营效率。我的工作包括使用 AKS 通过 Kubernetes 通过 GitOps 配置基础设施,这为大规模部署和管理我们的微服务提供了一个强大而灵活的环境。这还包括设置日志记录、操作员和安全工具。此外,我还开发了事件驱动的后端系统,用于客户入职、数据室功能以及数据库驱动程序和其他辅助工具的模块系统(即从 OpenAPI 导入 typescript 类型到 FE)。此外,我还实施了一个全面的平台无关的 DevOps 管道,该管道基于 semver 和常规提交支撑微服务架构,确保从代码提交到部署的平稳可靠过渡。其中包括采用签名验证流程和 CVE 扫描,验证从初始提交到最终部署的每个阶段,确保保持最高级别的安全性和可靠性。这种方法不仅简化了我们的部署流程,还显著增强了平台的整体安全态势和运营弹性。
riotfuzzer:伴侣应用程序辅助远程模糊,以检测物联网设备中的漏洞
由于物联网(IoT)系统的体系结构和外围设备的多样性,BlackBox Fuzzing脱颖而出是发现IoT设备漏洞的主要选择。现有的黑盒模糊工具通常依靠伴侣应用来生成有效的模糊数据包。但是,现有方法在依靠基于云的通信的模糊设备方面遇到了绕过云服务器端验证的挑战。此外,他们倾向于将精力集中在Android Companion应用程序中的Java组件上,从而限制了它们在评估非java组件(例如基于JavaScript的Mini-Apps)方面的有效性。在本文中,我们介绍了一种新颖的黑盒模糊方法,名为Riot-Fuzzer,旨在借助伴侣应用程序远程发现物联网设备的脆弱性,尤其是那些由JavaScript基于JavaScript的Mini-Mini-Apps功能启用的全合一应用程序启动的应用程序。我们的方法利用基于文档的控制命令提取,用于突变点识别的混合分析和侧向通道引导的模糊来有效解决模糊IoT设备的挑战。我们将Riotfuzzer应用于突出平台上的27个物联网,并发现了11个漏洞。所有这些都得到了相应的供应商的认可。8已由供应商确认,并已分配4个CVE ID。我们的实验结果还表明,侧通道引导的模糊可以显着提高发送到IoT设备的模糊数据包的效率,平均增加76.62%,最大增加362.62%。
外国行动
ACE Office of the Coordinator of U.S. Assistance to Europe and Eurasia, Department of State ACSBS African Conflict Stabilization and Border Security ACW Advanced Chemical Weapons AEECA Assistance for Europe, Eurasia, and Central Asia AMEP Africa Military Education Program AMISOM African Union Mission in Somalia AMSI Africa Maritime Security Initiative APEC Asia-Pacific Economic Cooperation AQ al-Qa'ida ARCT Africa Regional Counterterrorism艺术抗逆转录病毒治疗东南亚国家协会ATA反恐协会援助ADS武器控制局,威慑和稳定BHA BHA人道主义援助,USAID BW生物武器C2指挥和控制CAFTA-DR CBSI Caribbean Basin Security Initiative CCF Complex Crises Fund CIF USAID Capital Investment Fund CIPA Contributions for International Peacekeeping Activities CPMIF Countering People's Republic of China Malign Influence Fund CPS Bureau for Conflict Prevention and Stabilization, USAID CSC Countering Strategic Competitors CT Bureau of Counterterrorism, Department of State CTBT Comprehensive Nuclear-Test-Ban Treaty CTBTO Comprehensive Nuclear-Test-Ban Treaty Organization CTPF反恐伙伴关系基金CVE反暴力极端主义CWD常规武器破坏DA开发协助DCCP数字连通性和网络安全伙伴关系DDRR裁军,撤销,遣返和重新融合
el3xir:模糊的COTS安全显示器
抽象ARM Trustzone构成移动设备的安全骨干。基于信任的可信执行环境(TEE)促进了对安全敏感的任务,例如用户身份验证,磁盘加密和数字权利管理(DRM)。因此,TEE软件堆栈中的错误可能会损害整个系统的完整性。el3xir引入了一个框架,以有效地重新主机和模糊基于Trustzone Tees的安全监视器固件层。虽然其他方法集中于天真地重新安置或模糊的受信任应用程序(EL0)或TEE OS(EL1),但El3xir的目标是针对高度私有但未探索的安全监视器(EL3)及其独特的挑战。安全显示器通过各种安全的监视器呼叫揭示取决于多个外围设备的复杂功能。在我们的评估中,我们证明了最先进的模糊方法不足以有效地模糊COTS安全显示器。虽然幼稚的模糊似乎实现了可追溯的覆盖范围,但由于缺失的外围仿真而无法克服覆盖范围,并且由于输入空间较大和输入质量较低而导致触发错误的能力受到限制。我们遵循负责任的披露程序,并报告了总共34个错误,其中17个被归类为安全至关重要。受影响的供应商确认了其中14个错误,结果,El3xir被分配了6个CVE。
Braktooth:通过...
在本文中,我们提出,设计和评估一个系统的定向模糊框架,以自动在任意蓝牙经典(BT)设备中自动发现构成错误。我们的fuzzer的核心是第一个直播方法,它可以完全控制主机的BT控制器基带。这使我们能够拦截和修改任意数据包,并在封闭源BT堆栈的下层中注入数据包,即链接管理器协议(LMP)和基数。为了系统地指导我们的模糊过程,我们提出了一种可扩展且基于新颖的规则的方法,用于在非空中通信期间自动构建协议状态机。尤其是,通过编写一组简单的规则来识别协议消息,我们可以二合作构建一个抽象的协议状态计算机,由状态产生的模糊数据包并验证来自TAR- GET设备的响应。截至今天,我们已经从11位供应商那里融合了13个BT设备,并且我们发现了总共有18个未知的突出量,并分配了24个常见脆弱性暴露(CVE)。此外,我们的发现获得了某些供应商的六个漏洞赏金。最后,为了显示BT以外的框架的更广泛的适用性,我们扩展了绒毛其他无线协议的方法,该协议还显示了某些Wi-Fi和Ble主机堆栈中的6个未知错误。