- DevSecOps软件研发安全实践系列文章主要结合权威机构和头部IT企业的安全实践,讲述如何在软件研发各个阶段落地安全实践。 DevSecOps软件研发安全实践系列文章主要结合权威机构和头部IT企业的安全实践,讲述如何在软件研发各个阶段落地安全实践。
- 关于静态代码检查,你需要知道的三件事。 关于静态代码检查,你需要知道的三件事。
- 华为云DevOps系列之 —— 持续开发与集成(六)静态代码检查 华为云DevOps系列之 —— 持续开发与集成(六)静态代码检查
- 静态扫描工具融入在DevSecOps的开发过程中,对提高产品的整体的安全水平发挥着重要的作用。为了获取安全检查能力覆盖的最大化,开发团队通常会引入多个安全扫描工具。为了降低各种分析工具的结果汇总到通用工作流程中的成本和复杂性, 业界开始采用静态分析结果交换格式(SARIF)。本篇是SARIF应用的入门篇和进阶篇中的进阶篇,将介绍SARIF的更复杂的应用。 静态扫描工具融入在DevSecOps的开发过程中,对提高产品的整体的安全水平发挥着重要的作用。为了获取安全检查能力覆盖的最大化,开发团队通常会引入多个安全扫描工具。为了降低各种分析工具的结果汇总到通用工作流程中的成本和复杂性, 业界开始采用静态分析结果交换格式(SARIF)。本篇是SARIF应用的入门篇和进阶篇中的进阶篇,将介绍SARIF的更复杂的应用。
- 静态扫描工具融入在DevSecOps的开发过程中,对提高产品的整体的安全水平发挥着重要的作用。为了获取安全检查能力覆盖的最大化,开发团队通常会引入多个安全扫描工具。为了降低各种分析工具的结果汇总到通用工作流程中的成本和复杂性, 业界开始采用静态分析结果交换格式(SARIF)。本篇是SARIF应用的入门篇和进阶篇中的入门篇,将介绍SARIF的基础概念。 静态扫描工具融入在DevSecOps的开发过程中,对提高产品的整体的安全水平发挥着重要的作用。为了获取安全检查能力覆盖的最大化,开发团队通常会引入多个安全扫描工具。为了降低各种分析工具的结果汇总到通用工作流程中的成本和复杂性, 业界开始采用静态分析结果交换格式(SARIF)。本篇是SARIF应用的入门篇和进阶篇中的入门篇,将介绍SARIF的基础概念。
- 【摘要】这次体验主要是使用基于Git,布局于华为DevOps工具链的代码托管服务来创建仓库,目的体验其具备安全管控,成员、权限管理,分支保护/合并,统计服务等功能的云端代码仓库。既然CodeHub是基于Github的在线托管服务,一是熟悉Git操作命令,二是重点介绍云代码托管服务带来的方便。 【摘要】这次体验主要是使用基于Git,布局于华为DevOps工具链的代码托管服务来创建仓库,目的体验其具备安全管控,成员、权限管理,分支保护/合并,统计服务等功能的云端代码仓库。既然CodeHub是基于Github的在线托管服务,一是熟悉Git操作命令,二是重点介绍云代码托管服务带来的方便。
- 插件使用指南:1. 需要一个华为云账号; 2. 需要实名认证; 3. 确认CloudIDE活动结束知情同意书; 4. 浏览插件的概览详情;5. 免费体验CloudIDE实例;6. 实例中下载安装CodeCheck 代码检查插件;7 CodeCheck配置;8.【示例】Java项目扫描;9. 写在最后 插件使用指南:1. 需要一个华为云账号; 2. 需要实名认证; 3. 确认CloudIDE活动结束知情同意书; 4. 浏览插件的概览详情;5. 免费体验CloudIDE实例;6. 实例中下载安装CodeCheck 代码检查插件;7 CodeCheck配置;8.【示例】Java项目扫描;9. 写在最后
- 当前DevOps已经很热,所以,不管是测试 or 开发 or 运维,都需要往DevOps靠拢,你的职业发展之路才能尽可能越来越牛逼。 当前DevOps已经很热,所以,不管是测试 or 开发 or 运维,都需要往DevOps靠拢,你的职业发展之路才能尽可能越来越牛逼。
- ISO 5055是首个直接从软件内部结构方面衡量软件质量(如安全性和可靠性)的ISO标准。该标准基于统计安全性、可靠性、可维护性和性能效率方面的软件缺陷来衡量软件的结构质量。基于ISO 5055,开发人员能够在关键缺陷导致操作问题之前发现并消除这些缺陷; 工具检查的供应商能够明确软件质量的检查方向;为管理层提供了明确指标,以明确软件应用程序给业务带来的风险。 ISO 5055是首个直接从软件内部结构方面衡量软件质量(如安全性和可靠性)的ISO标准。该标准基于统计安全性、可靠性、可维护性和性能效率方面的软件缺陷来衡量软件的结构质量。基于ISO 5055,开发人员能够在关键缺陷导致操作问题之前发现并消除这些缺陷; 工具检查的供应商能够明确软件质量的检查方向;为管理层提供了明确指标,以明确软件应用程序给业务带来的风险。
- 1、为什么需要编程指南(WHY)开发人员往往只关注程序的功能是否正确,而忽视质量的其它属性。至于编程指南(或者编程规范),很多程序员更是觉得没有必要遵循:我不遵守这些指南,程序不是执行的也很好吗?实际上,代码不仅仅是被机器执行的,还是给人看的。不遵循指南的代码,可读性差,不利于理解,因此不利于维护。而软件维护成本通常占整个生命周期成本的40%~80%。反对编程指南的人还可能会提出如下的一些理... 1、为什么需要编程指南(WHY)开发人员往往只关注程序的功能是否正确,而忽视质量的其它属性。至于编程指南(或者编程规范),很多程序员更是觉得没有必要遵循:我不遵守这些指南,程序不是执行的也很好吗?实际上,代码不仅仅是被机器执行的,还是给人看的。不遵循指南的代码,可读性差,不利于理解,因此不利于维护。而软件维护成本通常占整个生命周期成本的40%~80%。反对编程指南的人还可能会提出如下的一些理...
- 1 【引子】前段时间软件学院的刘杰珍(340654)给软件教练们作软件可信认证的相关介绍时,提到了目前的可信认证包括如下的内容:设计模式,重构,面向对象设计,编程语言高阶特性,其中编程语言包括C, C++, Java, Go, Python, Javascript。针对以上内容,目前已经做了:ü C语言技术特点的总结《C语言的技术特点探究》ü 代码重构技术的总结《代码重构技术探究》本文我... 1 【引子】前段时间软件学院的刘杰珍(340654)给软件教练们作软件可信认证的相关介绍时,提到了目前的可信认证包括如下的内容:设计模式,重构,面向对象设计,编程语言高阶特性,其中编程语言包括C, C++, Java, Go, Python, Javascript。针对以上内容,目前已经做了:ü C语言技术特点的总结《C语言的技术特点探究》ü 代码重构技术的总结《代码重构技术探究》本文我...
- PMD其实是静态代码检查插件工具用到的一款源代码分析器(source code analyzer) PMD其实是静态代码检查插件工具用到的一款源代码分析器(source code analyzer)
- 华为云DevOps系列之 —— 持续部署与发布(十)自动化交付流水线 华为云DevOps系列之 —— 持续部署与发布(十)自动化交付流水线
- 本文总结目前两种常用的生成 SonarQube 结果报告的方法,以备查阅。 本文总结目前两种常用的生成 SonarQube 结果报告的方法,以备查阅。
- 现如今大家越来越认识到质量前移的重要性。如果一开始就写出优质的、经过测试的代码,那么后面的测试阶段将会减少很多不必要的时间。如果开发人员迫于业务压力,一味追求项目开发进度,往往会容易形成大量的“烂代码”。 现如今大家越来越认识到质量前移的重要性。如果一开始就写出优质的、经过测试的代码,那么后面的测试阶段将会减少很多不必要的时间。如果开发人员迫于业务压力,一味追求项目开发进度,往往会容易形成大量的“烂代码”。
上滑加载中
推荐直播
-
SaaS云原生应用典型架构
2022/07/07 周四 19:00-20:00
程泽 华为云SaaS专家
SaaS作为一种有效的软件交付形式,让企业IT团队可以将工作的重心从部署和业务系统定制转移到管理业务系统所提供的服务上来;但多租户开发、技术选型等问题会给SaaS应用开发带来挑战。本期直播将助力您破解这些难题,轻松构建云原生SaaS化应用。
去报名 -
崇本英才·智汇吴江· 无人车挑战赛赛题解读
2022/07/11 周一 19:00-21:00
岩风 华为云EI开发者生态工程师
本次直播主要介绍赛题讲解、baseline操作演示、常见问题答疑等。本次直播主要介绍赛题讲解、baseline操作演示、常见问题答疑等。
去报名 -
鸿蒙设备如何从0到1联网上云
2022/07/11 周一 19:30-20:30
Vz 华为云IoT高级工程师
本课程使开发者具备鸿蒙设备开发基础技能,掌握编译环境搭建、内核开发、驱动子系统开发、网络应用开发等知识点。
即将直播
热门标签