- 一个长期困扰软件分析研究人员的现实问题是缺乏统一的测试框架和测试用例集。本文将介绍面向软件分析工具的新型CI生态系统SAVE (Software Analysis Verification and Evaluation)。SAVE的目的是提供一个统一的软件分析验证和测试平台,为验证和对比软件分析工具提供方便。 一个长期困扰软件分析研究人员的现实问题是缺乏统一的测试框架和测试用例集。本文将介绍面向软件分析工具的新型CI生态系统SAVE (Software Analysis Verification and Evaluation)。SAVE的目的是提供一个统一的软件分析验证和测试平台,为验证和对比软件分析工具提供方便。
- 工业控制系统是全球关键基础设施的心脏,随着IoT、IT和运营技术(OT)的不断融合,工业领域由闭塞走向互联。工业控制系统在受到网络威胁时,通过基础设施对人类社会造成更大危害性。新版的CWE 4.7,引入了安全能源基础设施执行工作组的缺陷分类方式,为我们进一步研究和防范这类安全威胁,提供了系统的视角。 工业控制系统是全球关键基础设施的心脏,随着IoT、IT和运营技术(OT)的不断融合,工业领域由闭塞走向互联。工业控制系统在受到网络威胁时,通过基础设施对人类社会造成更大危害性。新版的CWE 4.7,引入了安全能源基础设施执行工作组的缺陷分类方式,为我们进一步研究和防范这类安全威胁,提供了系统的视角。
- 我们将CWE存储在xml文件中的信息转换到SQLite数据库中。通过SQL语言的公用表表达式(CTE)实现对CWE树结构进行递归查找,从而快速得到某个CWE在视图中所归属的分类信息(父节点)或所包含的弱点信息(子节点);同时利用CWE数据库,可以帮助我们分析CWE中包含的各种安全规范之间的关系,快速汇总CWE中保存的各种弱点的消减措施,从而更好的完成软件安全的整体防御。 我们将CWE存储在xml文件中的信息转换到SQLite数据库中。通过SQL语言的公用表表达式(CTE)实现对CWE树结构进行递归查找,从而快速得到某个CWE在视图中所归属的分类信息(父节点)或所包含的弱点信息(子节点);同时利用CWE数据库,可以帮助我们分析CWE中包含的各种安全规范之间的关系,快速汇总CWE中保存的各种弱点的消减措施,从而更好的完成软件安全的整体防御。
- 一图看懂软件缺陷检查涉及的内容 一图看懂软件缺陷检查涉及的内容
- 静态扫描工具融入在DevSecOps的开发过程中,对提高产品的整体的安全水平发挥着重要的作用。为了获取安全检查能力覆盖的最大化,开发团队通常会引入多个安全扫描工具。为了降低各种分析工具的结果汇总到通用工作流程中的成本和复杂性, 业界开始采用静态分析结果交换格式(SARIF)。本篇是SARIF应用的入门篇和进阶篇中的进阶篇,将介绍SARIF的更复杂的应用。 静态扫描工具融入在DevSecOps的开发过程中,对提高产品的整体的安全水平发挥着重要的作用。为了获取安全检查能力覆盖的最大化,开发团队通常会引入多个安全扫描工具。为了降低各种分析工具的结果汇总到通用工作流程中的成本和复杂性, 业界开始采用静态分析结果交换格式(SARIF)。本篇是SARIF应用的入门篇和进阶篇中的进阶篇,将介绍SARIF的更复杂的应用。
- 静态扫描工具融入在DevSecOps的开发过程中,对提高产品的整体的安全水平发挥着重要的作用。为了获取安全检查能力覆盖的最大化,开发团队通常会引入多个安全扫描工具。为了降低各种分析工具的结果汇总到通用工作流程中的成本和复杂性, 业界开始采用静态分析结果交换格式(SARIF)。本篇是SARIF应用的入门篇和进阶篇中的入门篇,将介绍SARIF的基础概念。 静态扫描工具融入在DevSecOps的开发过程中,对提高产品的整体的安全水平发挥着重要的作用。为了获取安全检查能力覆盖的最大化,开发团队通常会引入多个安全扫描工具。为了降低各种分析工具的结果汇总到通用工作流程中的成本和复杂性, 业界开始采用静态分析结果交换格式(SARIF)。本篇是SARIF应用的入门篇和进阶篇中的入门篇,将介绍SARIF的基础概念。
- log4j问题的余波还在继续,为什么这个问题潜伏了这么长时间,大家一直没有发现?这里从静态分析的角度谈下log4j问题的发现. log4j问题的余波还在继续,为什么这个问题潜伏了这么长时间,大家一直没有发现?这里从静态分析的角度谈下log4j问题的发现.
- CWE做为软件缺陷分类的重要标准, 对安全研究、安全标准、缺陷管理起了重要的纽带作用。CWE通过编号的类型(类缺陷、基础缺陷和变种缺陷等)形成了多层次的缺陷类型划分体系。本文进一步剖析了CWE视图的层次之间的定义和解析方式。 CWE做为软件缺陷分类的重要标准, 对安全研究、安全标准、缺陷管理起了重要的纽带作用。CWE通过编号的类型(类缺陷、基础缺陷和变种缺陷等)形成了多层次的缺陷类型划分体系。本文进一步剖析了CWE视图的层次之间的定义和解析方式。
- 本文简单介绍了Clang编译过程中涉及到的步骤和每个步骤的产物,并简单分析了部分影响预处理和编译成功的部分因素(并不具体)。 本文简单介绍了Clang编译过程中涉及到的步骤和每个步骤的产物,并简单分析了部分影响预处理和编译成功的部分因素(并不具体)。
- CWE最危险的25种软件缺陷,是NVD过去两年中遇到的最常见和影响最大的问题指示性的列表。 这些缺陷通常很容易被发现和利用,并且可以让攻击者完全接管系统、窃取数据或阻止应用程序运行。 CWE Top25 可以帮助开发人员、测试人员和用户,以及项目经理、安全研究人员和教育工作者深入了解最严重和当前的安全漏洞。 CWE最危险的25种软件缺陷,是NVD过去两年中遇到的最常见和影响最大的问题指示性的列表。 这些缺陷通常很容易被发现和利用,并且可以让攻击者完全接管系统、窃取数据或阻止应用程序运行。 CWE Top25 可以帮助开发人员、测试人员和用户,以及项目经理、安全研究人员和教育工作者深入了解最严重和当前的安全漏洞。
- ISO 5055是首个直接从软件内部结构方面衡量软件质量(如安全性和可靠性)的ISO标准。该标准基于统计安全性、可靠性、可维护性和性能效率方面的软件缺陷来衡量软件的结构质量。基于ISO 5055,开发人员能够在关键缺陷导致操作问题之前发现并消除这些缺陷; 工具检查的供应商能够明确软件质量的检查方向;为管理层提供了明确指标,以明确软件应用程序给业务带来的风险。 ISO 5055是首个直接从软件内部结构方面衡量软件质量(如安全性和可靠性)的ISO标准。该标准基于统计安全性、可靠性、可维护性和性能效率方面的软件缺陷来衡量软件的结构质量。基于ISO 5055,开发人员能够在关键缺陷导致操作问题之前发现并消除这些缺陷; 工具检查的供应商能够明确软件质量的检查方向;为管理层提供了明确指标,以明确软件应用程序给业务带来的风险。
- 区块链联盟链智能合约形式化验证揭秘,解释了我们为什么要对区块链上的智能合约进行形式化验证,以及形式化验证的分类和业界针对每种分类所推出的形式化验证工具,最后作者描述了一下目前形式华验证的种种方法所面临的问题及对于这个领域技术发展的展望。 区块链联盟链智能合约形式化验证揭秘,解释了我们为什么要对区块链上的智能合约进行形式化验证,以及形式化验证的分类和业界针对每种分类所推出的形式化验证工具,最后作者描述了一下目前形式华验证的种种方法所面临的问题及对于这个领域技术发展的展望。
- 新发布的CWE4.6标准,加入了OWASP 2021 TOP10的视图。OWASP TOP10将Web应用中的漏洞按照其发生率、检测能力、影响和可利用性设定了一个优先级排名,帮助组织按照漏洞的优先级,关注、理解、正确识别、减轻在应用程序中这些漏洞造成的危害。同时也为检测工具厂商对这些安全问题的检测提出了要求。 新发布的CWE4.6标准,加入了OWASP 2021 TOP10的视图。OWASP TOP10将Web应用中的漏洞按照其发生率、检测能力、影响和可利用性设定了一个优先级排名,帮助组织按照漏洞的优先级,关注、理解、正确识别、减轻在应用程序中这些漏洞造成的危害。同时也为检测工具厂商对这些安全问题的检测提出了要求。
- 应用安全已经成了企业长期稳定发展的重要因素,企业也更加希望通过应用安全的检查工具,提前发现安全隐患,从而避免给企业带来更大的损失。但企业如何在众多的应用安全检查工具进行选择? 同时对于应用检查工具厂商,如何了解竞争对手的技术动向,确立自己的竞争优势和发现与竞争对手的差距? 作为全球领先的信息技术研究和顾问公司Gartner每年给出的应用安全的检查魔力四象限,给出了很好的参考。 应用安全已经成了企业长期稳定发展的重要因素,企业也更加希望通过应用安全的检查工具,提前发现安全隐患,从而避免给企业带来更大的损失。但企业如何在众多的应用安全检查工具进行选择? 同时对于应用检查工具厂商,如何了解竞争对手的技术动向,确立自己的竞争优势和发现与竞争对手的差距? 作为全球领先的信息技术研究和顾问公司Gartner每年给出的应用安全的检查魔力四象限,给出了很好的参考。
推荐直播
-
2022“域见杯”医检人工智能开发者大赛训练营2022/07/05 周二 19:00-20:00
庄老师 华为云EI算法工程师 / 岩风老师 华为云EI开发者生态工程师
帮助参赛团队接触并了解医检业务场景,探索医检人工智能应用落地的可能性。
即将直播 -
SaaS云原生应用典型架构2022/07/07 周四 19:00-20:00
程泽 华为云SaaS专家
SaaS作为一种有效的软件交付形式,让企业IT团队可以将工作的重心从部署和业务系统定制转移到管理业务系统所提供的服务上来;但多租户开发、技术选型等问题会给SaaS应用开发带来挑战。本期直播将助力您破解这些难题,轻松构建云原生SaaS化应用。
去报名
热门标签