- 本文介绍部分业界知名的面向 C/C++ 的开源的静态代码分析工具或者框架,部分比较好的程序验证工具也会收集。 本文介绍部分业界知名的面向 C/C++ 的开源的静态代码分析工具或者框架,部分比较好的程序验证工具也会收集。
- 程序中如果使用未经校验的输入构造SpEL语句,就有可能造成SpEL表达式注入漏洞,对下游服务可能产生恶意攻击。本文介绍了SpEL表达式以及常见的SpEL注入攻击,详细地介绍了部分漏洞攻击实例以及常用的漏洞检测与防御手段。 程序中如果使用未经校验的输入构造SpEL语句,就有可能造成SpEL表达式注入漏洞,对下游服务可能产生恶意攻击。本文介绍了SpEL表达式以及常见的SpEL注入攻击,详细地介绍了部分漏洞攻击实例以及常用的漏洞检测与防御手段。
- 时隔 2 年的时间后,如今又再一次开始折腾自己的博客站点,看来是自己有点太躁动啦😂。在上海疫情期间也真有点压抑的,为了消除这份不安的情绪,决定参考 Hexo NexT 从零开始全面重构 NexT 主题,也在独自奋斗的2个多月断断续续时间里完成主体功能所有移植工作(其实一直想有人参与进来共建,直接跑到人家 Hexo NexT 用户群“呼喊”,但也是没有浪花泛起,只好是自己继续独立前行)。 这不乘着 时隔 2 年的时间后,如今又再一次开始折腾自己的博客站点,看来是自己有点太躁动啦😂。在上海疫情期间也真有点压抑的,为了消除这份不安的情绪,决定参考 Hexo NexT 从零开始全面重构 NexT 主题,也在独自奋斗的2个多月断断续续时间里完成主体功能所有移植工作(其实一直想有人参与进来共建,直接跑到人家 Hexo NexT 用户群“呼喊”,但也是没有浪花泛起,只好是自己继续独立前行)。 这不乘着
- Hugo NexT 主题 V4 版本移植自 Hexo NexT 的最新版本,保留其原本的简单易用特性和强大的功能,一切都是因 ❤️ 重新出发,愿你同样会喜欢,也欢迎加入共建!缘起Hugo 版本的 NexT 主题最早的话应该是由 兰陵子 提供的,发布时间可追溯到 2016 年,先期我个人的博客主题也是采用了他的版本,并在此原有基础上进行相关的优化与完善(开源后也受到不少用户的关注),可以参考之... Hugo NexT 主题 V4 版本移植自 Hexo NexT 的最新版本,保留其原本的简单易用特性和强大的功能,一切都是因 ❤️ 重新出发,愿你同样会喜欢,也欢迎加入共建!缘起Hugo 版本的 NexT 主题最早的话应该是由 兰陵子 提供的,发布时间可追溯到 2016 年,先期我个人的博客主题也是采用了他的版本,并在此原有基础上进行相关的优化与完善(开源后也受到不少用户的关注),可以参考之...
- Verizon《2022数据泄露调查报告(DBIR)》指出,61%的数据泄露涉及凭证数据,凭证是犯罪分子最喜欢的数据类型,就像披着羊皮的狼一样,它们的行为在攻击之前显得无害。凭证的泄露是信息泄露的主要途径,内部员工操作不规范、没有养成良好的工作行为习惯以及疏忽大意等已成为多起严重网络安全事件发生的根本原因。本文重点讲述通过静态检查工具有效的防止密码密钥的泄露。 Verizon《2022数据泄露调查报告(DBIR)》指出,61%的数据泄露涉及凭证数据,凭证是犯罪分子最喜欢的数据类型,就像披着羊皮的狼一样,它们的行为在攻击之前显得无害。凭证的泄露是信息泄露的主要途径,内部员工操作不规范、没有养成良好的工作行为习惯以及疏忽大意等已成为多起严重网络安全事件发生的根本原因。本文重点讲述通过静态检查工具有效的防止密码密钥的泄露。
- 区块链联盟链智能合约形式化验证揭秘,解释了我们为什么要对区块链上的智能合约进行形式化验证,以及形式化验证的分类和业界针对每种分类所推出的形式化验证工具,最后作者描述了一下目前形式华验证的种种方法所面临的问题及对于这个领域技术发展的展望。 区块链联盟链智能合约形式化验证揭秘,解释了我们为什么要对区块链上的智能合约进行形式化验证,以及形式化验证的分类和业界针对每种分类所推出的形式化验证工具,最后作者描述了一下目前形式华验证的种种方法所面临的问题及对于这个领域技术发展的展望。
- 软件缺陷分类在已知缺陷管理、缺陷用例库建设、静态检查工具的能力覆盖和横向对比中起着重要的作用。本文参考GB/T-30279, CNNVD,NVD,以及CWE的各种视图, 给出了一个建立适合自己的缺陷分类方法。 软件缺陷分类在已知缺陷管理、缺陷用例库建设、静态检查工具的能力覆盖和横向对比中起着重要的作用。本文参考GB/T-30279, CNNVD,NVD,以及CWE的各种视图, 给出了一个建立适合自己的缺陷分类方法。
- 列出了部分面向Java语言的静态代码分析工具或者框架,主要指向如何自己实现Java静态代码分析框架的参考,不是直接拿来用的介绍。 列出了部分面向Java语言的静态代码分析工具或者框架,主要指向如何自己实现Java静态代码分析框架的参考,不是直接拿来用的介绍。
- 本文主要介绍静态程序分析中的适合用来执行分析的中间表示,分析了 clang ast,llvm bitcode,gcc gimple 等表示形式;同时,介绍了基于这些中间表示进行的其他的抽象表示方式。顺便提了一下二进制分析中,主要使用的中间表示形式。 本文主要介绍静态程序分析中的适合用来执行分析的中间表示,分析了 clang ast,llvm bitcode,gcc gimple 等表示形式;同时,介绍了基于这些中间表示进行的其他的抽象表示方式。顺便提了一下二进制分析中,主要使用的中间表示形式。
- 新发布的CWE4.6标准,加入了OWASP 2021 TOP10的视图。OWASP TOP10将Web应用中的漏洞按照其发生率、检测能力、影响和可利用性设定了一个优先级排名,帮助组织按照漏洞的优先级,关注、理解、正确识别、减轻在应用程序中这些漏洞造成的危害。同时也为检测工具厂商对这些安全问题的检测提出了要求。 新发布的CWE4.6标准,加入了OWASP 2021 TOP10的视图。OWASP TOP10将Web应用中的漏洞按照其发生率、检测能力、影响和可利用性设定了一个优先级排名,帮助组织按照漏洞的优先级,关注、理解、正确识别、减轻在应用程序中这些漏洞造成的危害。同时也为检测工具厂商对这些安全问题的检测提出了要求。
- 应用安全已经成了企业长期稳定发展的重要因素,企业也更加希望通过应用安全的检查工具,提前发现安全隐患,从而避免给企业带来更大的损失。但企业如何在众多的应用安全检查工具进行选择? 同时对于应用检查工具厂商,如何了解竞争对手的技术动向,确立自己的竞争优势和发现与竞争对手的差距? 作为全球领先的信息技术研究和顾问公司Gartner每年给出的应用安全的检查魔力四象限,给出了很好的参考。 应用安全已经成了企业长期稳定发展的重要因素,企业也更加希望通过应用安全的检查工具,提前发现安全隐患,从而避免给企业带来更大的损失。但企业如何在众多的应用安全检查工具进行选择? 同时对于应用检查工具厂商,如何了解竞争对手的技术动向,确立自己的竞争优势和发现与竞争对手的差距? 作为全球领先的信息技术研究和顾问公司Gartner每年给出的应用安全的检查魔力四象限,给出了很好的参考。
- 我们如何确保部署的代码尽可能 优质 呢?答案是: 静态代码分析。 我们如何确保部署的代码尽可能 优质 呢?答案是: 静态代码分析。
- 大家一直存在一个疑问这么多漏洞是否真的会被攻击者利用?CWE的工作组,对已知被利用漏洞目录(KEV)进行了分析,得到了2023年被利用漏洞的前10名。这个名单将能更清晰的指导实际防护中需要优先防护的漏洞,从而降低被攻击的可能性。 大家一直存在一个疑问这么多漏洞是否真的会被攻击者利用?CWE的工作组,对已知被利用漏洞目录(KEV)进行了分析,得到了2023年被利用漏洞的前10名。这个名单将能更清晰的指导实际防护中需要优先防护的漏洞,从而降低被攻击的可能性。
- 梳理典型的商用的静态代码分析工具 梳理典型的商用的静态代码分析工具
- 本文主要介绍如何在 ubuntu 20.04 中,使用 cmake 方式构建 llvm clang 15.0.7. 本文主要介绍如何在 ubuntu 20.04 中,使用 cmake 方式构建 llvm clang 15.0.7.
上滑加载中
推荐直播
-
探秘仓颉编程语言:华为开发者空间的创新利器2025/02/22 周六 15:00-16:30
华为云讲师团
本期直播将与您一起探秘颉编程语言上线华为开发者空间后,显著提升开发效率,在智能化开发支持、全场景跨平台适配能力、工具链与生态完备性、语言简洁与高性能特性等方面展现出的独特优势。直播看点: 1.java转仓颉的小工具 2.仓颉动画三方库lottie 3.开发者空间介绍及如何在空间用仓颉编程语言开发
即将直播 -
大模型Prompt工程深度实践2025/02/24 周一 16:00-17:30
盖伦 华为云学堂技术讲师
如何让大模型精准理解开发需求并生成可靠输出?本期直播聚焦大模型Prompt工程核心技术:理解大模型推理基础原理,关键采样参数定义,提示词撰写关键策略及Prompt工程技巧分享。
去报名 -
华为云 x DeepSeek:AI驱动云上应用创新2025/02/26 周三 16:00-18:00
华为云 AI专家大咖团
在 AI 技术飞速发展之际,DeepSeek 备受关注。它凭借哪些技术与理念脱颖而出?华为云与 DeepSeek 合作,将如何重塑产品与应用模式,助力企业数字化转型?在华为开发者空间,怎样高效部署 DeepSeek,搭建专属服务器?基于华为云平台,又该如何挖掘 DeepSeek 潜力,实现智能化升级?本期直播围绕DeepSeek在云上的应用案例,与DTSE布道师们一起探讨如何利用AI 驱动云上应用创新。
去报名
热门标签