- CWE TOP 25 不仅是开发人员和安全专业人士的宝贵资源,而且还为在软件、安全和风险管理投资方面做出明智决策的组织提供了战略指南。 CWE TOP 25 不仅是开发人员和安全专业人士的宝贵资源,而且还为在软件、安全和风险管理投资方面做出明智决策的组织提供了战略指南。
- 静态分析工具通过自动识别源代码中的错误来促进软件维护。但是,对于大型系统,这些工具通常会生成大量的缺陷报告,其中许多缺陷报告在概念上是相似的。单独处理缺陷会花费开发人员的工作量,并增加维护负担。建议对生成的缺陷报告进行聚类,以便可以对类似的错误进行分类,并可能一起修复。论文的方法利用静态错误报告中可用的语法和结构信息来准确地聚类相关报告,从而加快维护过程。 静态分析工具通过自动识别源代码中的错误来促进软件维护。但是,对于大型系统,这些工具通常会生成大量的缺陷报告,其中许多缺陷报告在概念上是相似的。单独处理缺陷会花费开发人员的工作量,并增加维护负担。建议对生成的缺陷报告进行聚类,以便可以对类似的错误进行分类,并可能一起修复。论文的方法利用静态错误报告中可用的语法和结构信息来准确地聚类相关报告,从而加快维护过程。
- CodeNavi 是一种用于编写静态检查规则的DSL语言。介绍 CodeNavi 中节点的通用属性。每个节点会有一些基础属性,用于得到这个节点所在类、函数、if、for、foreach、while或 try、catch 中的位置。 CodeNavi 是一种用于编写静态检查规则的DSL语言。介绍 CodeNavi 中节点的通用属性。每个节点会有一些基础属性,用于得到这个节点所在类、函数、if、for、foreach、while或 try、catch 中的位置。
- 近期专家们观察到越来越多的 AI/ML 造成具体的 CVE 漏洞之后,为了防范 AI/ML 对应用安全造成的影响,CWE 快速推出了 CWE 4.15 版本。 近期专家们观察到越来越多的 AI/ML 造成具体的 CVE 漏洞之后,为了防范 AI/ML 对应用安全造成的影响,CWE 快速推出了 CWE 4.15 版本。
- 随着智能手机的快速发展,移动应用已经成为我们日常生活关系最密切的软件应用。开放全球应用程序安全项目(OWASP)基金会,致力于提高软件的安全性。自 2014、2016年发布了移动应用的十大风险后,今年再次发布2024版。这对移动应用软件的检查工具有着重要的指导作用。 随着智能手机的快速发展,移动应用已经成为我们日常生活关系最密切的软件应用。开放全球应用程序安全项目(OWASP)基金会,致力于提高软件的安全性。自 2014、2016年发布了移动应用的十大风险后,今年再次发布2024版。这对移动应用软件的检查工具有着重要的指导作用。
- CodeNavi 是一种用于编写静态检查规则的DSL语言。本篇将介绍 CodeNavi 中代码里函数、类/接口声明、注解,以及注释的节点和节点属性。 CodeNavi 是一种用于编写静态检查规则的DSL语言。本篇将介绍 CodeNavi 中代码里函数、类/接口声明、注解,以及注释的节点和节点属性。
- CodeNavi 是一种用于编写静态检查规则的DSL语言。本篇将介绍中代码里语句和代码块对应 CodeNavi 的节点和节点属性。 语句节点包括:赋值语句;控制流语句包括:跳转语句、条件控制、Switch控制、循环控制、异常处理、静态语句、同步代码块。 CodeNavi 是一种用于编写静态检查规则的DSL语言。本篇将介绍中代码里语句和代码块对应 CodeNavi 的节点和节点属性。 语句节点包括:赋值语句;控制流语句包括:跳转语句、条件控制、Switch控制、循环控制、异常处理、静态语句、同步代码块。
- ESAPI 是一个免费、开源的 web 应用程序安全控制库,使程序员更容易编写风险较低的应用程序。ESAPI库可以使程序员更容易对现有应用程序进行安全性改造,同时 ESAPI 库也是新应用系统开发确保安全的坚实基础。 ESAPI 是一个免费、开源的 web 应用程序安全控制库,使程序员更容易编写风险较低的应用程序。ESAPI库可以使程序员更容易对现有应用程序进行安全性改造,同时 ESAPI 库也是新应用系统开发确保安全的坚实基础。
- "以史为鉴,可以知兴替"。CWE 已经连续5年发布了 CWE TOP 25,我们可以从过去5年CWE TOP 25 的变化趋势,去寻找高危安全漏洞的发展趋势,为安全政策和投资决策提供指引,这对于安全防护人员、代码检查工具的开发,以及编程人员都有着非常重要意义。 "以史为鉴,可以知兴替"。CWE 已经连续5年发布了 CWE TOP 25,我们可以从过去5年CWE TOP 25 的变化趋势,去寻找高危安全漏洞的发展趋势,为安全政策和投资决策提供指引,这对于安全防护人员、代码检查工具的开发,以及编程人员都有着非常重要意义。
- 本文是clang static analyzer 自定义规则开发的基础教程,主要会介绍下面的几点内容:① 基于 clion + wsl + ubuntu 20.04 的 clang static analyzer 自定义规则开发环境的搭建;② 一种基于插件方式独立开发 clang static analyzer 自定义规则的实践;③ 规则开发示例。 本文是clang static analyzer 自定义规则开发的基础教程,主要会介绍下面的几点内容:① 基于 clion + wsl + ubuntu 20.04 的 clang static analyzer 自定义规则开发环境的搭建;② 一种基于插件方式独立开发 clang static analyzer 自定义规则的实践;③ 规则开发示例。
- log4j问题的余波还在继续,为什么这个问题潜伏了这么长时间,大家一直没有发现?这里从静态分析的角度谈下log4j问题的发现. log4j问题的余波还在继续,为什么这个问题潜伏了这么长时间,大家一直没有发现?这里从静态分析的角度谈下log4j问题的发现.
- CWE做为软件缺陷分类的重要标准, 对安全研究、安全标准、缺陷管理起了重要的纽带作用。CWE通过编号的类型(类缺陷、基础缺陷和变种缺陷等)形成了多层次的缺陷类型划分体系。本文进一步剖析了CWE视图的层次之间的定义和解析方式。 CWE做为软件缺陷分类的重要标准, 对安全研究、安全标准、缺陷管理起了重要的纽带作用。CWE通过编号的类型(类缺陷、基础缺陷和变种缺陷等)形成了多层次的缺陷类型划分体系。本文进一步剖析了CWE视图的层次之间的定义和解析方式。
- 本文简单介绍了Clang编译过程中涉及到的步骤和每个步骤的产物,并简单分析了部分影响预处理和编译成功的部分因素(并不具体)。 本文简单介绍了Clang编译过程中涉及到的步骤和每个步骤的产物,并简单分析了部分影响预处理和编译成功的部分因素(并不具体)。
- CWE最危险的25种软件缺陷,是NVD过去两年中遇到的最常见和影响最大的问题指示性的列表。 这些缺陷通常很容易被发现和利用,并且可以让攻击者完全接管系统、窃取数据或阻止应用程序运行。 CWE Top25 可以帮助开发人员、测试人员和用户,以及项目经理、安全研究人员和教育工作者深入了解最严重和当前的安全漏洞。 CWE最危险的25种软件缺陷,是NVD过去两年中遇到的最常见和影响最大的问题指示性的列表。 这些缺陷通常很容易被发现和利用,并且可以让攻击者完全接管系统、窃取数据或阻止应用程序运行。 CWE Top25 可以帮助开发人员、测试人员和用户,以及项目经理、安全研究人员和教育工作者深入了解最严重和当前的安全漏洞。
- ISO 5055是首个直接从软件内部结构方面衡量软件质量(如安全性和可靠性)的ISO标准。该标准基于统计安全性、可靠性、可维护性和性能效率方面的软件缺陷来衡量软件的结构质量。基于ISO 5055,开发人员能够在关键缺陷导致操作问题之前发现并消除这些缺陷; 工具检查的供应商能够明确软件质量的检查方向;为管理层提供了明确指标,以明确软件应用程序给业务带来的风险。 ISO 5055是首个直接从软件内部结构方面衡量软件质量(如安全性和可靠性)的ISO标准。该标准基于统计安全性、可靠性、可维护性和性能效率方面的软件缺陷来衡量软件的结构质量。基于ISO 5055,开发人员能够在关键缺陷导致操作问题之前发现并消除这些缺陷; 工具检查的供应商能够明确软件质量的检查方向;为管理层提供了明确指标,以明确软件应用程序给业务带来的风险。
上滑加载中
推荐直播
-
探秘仓颉编程语言:华为开发者空间的创新利器2025/02/22 周六 15:00-16:30
华为云讲师团
本期直播将与您一起探秘颉编程语言上线华为开发者空间后,显著提升开发效率,在智能化开发支持、全场景跨平台适配能力、工具链与生态完备性、语言简洁与高性能特性等方面展现出的独特优势。直播看点: 1.java转仓颉的小工具 2.仓颉动画三方库lottie 3.开发者空间介绍及如何在空间用仓颉编程语言开发
即将直播 -
大模型Prompt工程深度实践2025/02/24 周一 16:00-17:30
盖伦 华为云学堂技术讲师
如何让大模型精准理解开发需求并生成可靠输出?本期直播聚焦大模型Prompt工程核心技术:理解大模型推理基础原理,关键采样参数定义,提示词撰写关键策略及Prompt工程技巧分享。
去报名 -
华为云 x DeepSeek:AI驱动云上应用创新2025/02/26 周三 16:00-18:00
华为云 AI专家大咖团
在 AI 技术飞速发展之际,DeepSeek 备受关注。它凭借哪些技术与理念脱颖而出?华为云与 DeepSeek 合作,将如何重塑产品与应用模式,助力企业数字化转型?在华为开发者空间,怎样高效部署 DeepSeek,搭建专属服务器?基于华为云平台,又该如何挖掘 DeepSeek 潜力,实现智能化升级?本期直播围绕DeepSeek在云上的应用案例,与DTSE布道师们一起探讨如何利用AI 驱动云上应用创新。
去报名
热门标签