本次薪酬调研，薪酬网制定了周密的调查方案，凭借薪酬网便捷高效的在线调研系统，丰富的调查经验与专业的顾问团队；依托网站深厚的数据来源、庞大的客户群体，为企业提供高价值的人力资源深度研究报告。

报告介绍了2018年的重大移动应用相关安全漏洞，以及与移动应用相关的法律法规，并分别从移动应用安全、移动应用数据与个人隐私信息安全、移动应用权限获取3个方面给出了安全建议。

智能合约作为区块链的重要技术极大地扩展了区块链的应用场景与现实意义，被广泛地应用于金融、游戏、保险、物联网等多个领域，但同时也面临着严重的安全风险。相比于普通程序而言，智能合约的安全性不仅影响合约参与多方的公平性，还影响合约所管理的庞大数字资产的安全性。因此，对智能合约的安全性及相关安全漏洞开展研究显得尤为重要。CSAGCR对于智能合约的安全进行系统化研究，从不同的角度去分析智能合约的安全，从智能合约开发者角度，在第一章从智能合约的安全框架出发提出了测试标准，可以为开发者在内部安全测试中参考。第二章结合部分典型案例，具体剖析曾发生过的经典智能合约安全事件和深层次原因，有利于开发者了解已经发生过的智能合约安全事件，引以为戒。第三章分析总结智能合约最佳实践，包括针对智能合约生态常见问题的基本对策、社区最佳实践和安全开发资料，以及推荐工具，可以在开发过程中使用。第四章从第三方审计的角度介绍智能合约安全审计的Checklist，供第三方审计参考使用。第五章做了简要的总结。

去中心化应用（即DecentralizedApplication，以下简称DApp）作为区块链的重要实现载体。DApp继承了传统应用的优势，结合区块链的特点，极大地扩展了区块链的应用场景与现实意义。DApp可以被广泛地应用于金融(DeFi)、游戏、保险、物联网、共享经济、人工智能等多个领域。但同时也面临着严重的安全风险，例如：2019年EOSDApp安全成为重灾之地，截止2019年5月被盗EOS达到93万。相比于普通应用程序而言，DApp的安全性不仅影响参与多方的公平性，还影响DApp所管理的庞大数字资产的安全性。因此对DApp的安全性及相关安全漏洞开展研究显得尤为重要。CSAGCR对于DApp的安全进行系统化研究，从不同的角度去分析DApp的安全。根据2020年初统计，DApps应用中最受欢迎的是DeFi，本文针对DeFi的安全应用场景进行了重点分析。

报告主要包括中国网络安全信息与事件管理（SIEM/SOC）类产品技术现状分析、应用现状分析、测评情况介绍、测评结果分析等内容，旨在更好地满足电信和互联网等行业用户在5G网络、云计算、物联网等新型业务场景下的实际需要，为其在网络安全产品选型过程中提供技术能力参考。

云安全联盟(CSA)作为非营利性组织，肩负着广泛推广云计算和IT技术中的网络安全最佳实践的使命。CSA还承担着对云和IT技术从业者的教育和引导作用，使他们了解所有计算形式所面临的安全问题CSA的成员众多，包括各行业从业人员、组织和专业协会。因此CSA的调研有助于评估各行业的信息安全技术成熟度和安全最佳实践落地情况。在当前“新冠”疫情背景下，CyberArk委托CSA进行一项调研，以更好地了解未来12个月内云工作负载将面临的安全挑战，尤其是如何应对这些与身份和访问管理(IAM)相关的安全挑战。CyberArk与CSA共同制定了调研计划并编写了调查问卷，从2020年4月到5月，CSA共回收了近200份调查问卷。调研对象包括运营商及大型组织中经验丰富的云安全架构师、设计人员、运维人员等。CSA的专家小组对调研数据进行了分析，并根据分析结果起草了以下报告。

欢迎来到云安全联盟关于云计算关键领域安全指南的第四个版本。云计算的兴起是一项不断发展的技术，它带来了许多机遇和挑战。通过这个文档，我们的目标是提供指导和灵感来支持业务目标，同时管理和减轻采用云计算技术相关的风险。云安全联盟促进了在云计算领域内提供安全保证的最佳实践，并为寻求采用云计算模式的组织提供了一个实用的、可执行的路线图。云计算关键领域安全指南的第四个版本是建立在之前的安全指南、专门地研究、云安全联盟成员、工作组以及我们社区的行业专家的公开参与之上的。该版本集成了云、安全性和支持技术方面的进展，反映了现实世界的云安全实践，集成了最新的云安全联盟研究项目，并为相关技术提供了指导。

本文介绍了DNS安全背景和攻击案例，分析了DNS攻击应对方法、攻击研究趋势及360 DNS威胁检测防御系统。

物联网将是下一个推动世界高速发展的“重要生产力”，是继通信网之后的另一个万亿级市场。2016年物联网&车联网安全问题层出不穷，引发安全从业者频频关注。本书收录5篇天线安全相关文章，帮助无线通信技术爱好者了解全球最新、最先进的无线电安全知识和技术。

Web业务的迅速发展引起黑客们的强烈关注，黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限，使得网站访问者受到侵害。这也使得越来越多的用户关注应用层的安全问题，对Web应用安全的关注度也逐渐升温。

白帽黑客与黑帽黑客，也不会真的带着标志性的帽子出现。做为一个安全公司的首席安全官，最悲催的恐怕还不是安全防线被突破，假设被攻破已经是业内的共识，过去这些年，不止一次经历过警察从眼前把团队的兄弟带走，证据确凿、手续齐全;曾经主动报案把涉嫌犯罪的兄弟送进公安局;也曾经不止一次去各地公安机关营救被抓的“白帽子”、“兄弟”，甘苦自知!

供应链安全是网络安全的主题之一，近日官网下载的XShell也被曝光自带后门，之前曾出现第三方渠道下载的Putty、Xcode被植入后门的情况，Chrome浏览器多个插件也曾被插入恶意代码，如果官网与第三方软件分发渠道都不可信，在一切都可编程，—切都要依赖软件的今天，我们该怎么办?本期《安全客》试图讨论一下在人和软件/设备的供应链都不可靠的情况下，如何保证企业核心资产的安全。

近年来,物联网技术的普及和快速发展让越来越多设备智能化，在公共领域，智慧环境﴾ 家庭，办公，工厂﴿ 领域，个人和社会领域等方面都有深入应用，新的技术和设备引入也带来了新的安全和隐私风险。该报告将探讨2017年整年关于IoT﴾Internet of Things﴿ 设备相关的安全问题。

2017年5月12日爆发的“WannaCry”勒索蠕虫在短短数天内横扫150多个国家，感染了包括隔离网络在内的200万到300万台电脑，造成60-80亿美元的损失，我国某政府机构的内网有大量电脑被感染导致部分地区公众服务暂停，某能源企业的加油站网络也被感染导致超过1000个加油站回到现金加油时代。