- 博客(42)
- 收藏
- 关注
转载 OS2ATC 2024 | 活动即将开始,火热报名中!
大会将围绕“Al and system、硬件、内核、RISC-V架构、ARM架构、龙芯架构、编程技术、RUST、智能汽车和机器人、AIOT、云原生、虚拟化”等主题展开分享和讨论。已经连续举办了十届,在促进我国操作系统相关教学、研究与产业的发展、加强学术交流、展示产业界成果、展开跨学科的交流等方面已经卓有成效。
2024-02-21 15:24:52 215
转载 OS2ATC|开源操作系统年度技术会议10周年
今年是OS2ATC大会10周年,我们继续邀请国内一线的操作系统专家和团队领导围绕如何“开源创新”进行深入探讨。
2023-03-15 12:00:00 789
原创 开源操作系统年度技术会议演讲PPT下载来啦
由中科院软件所主办,清华大学、北京大学以及鉴释科技承办的第九届开源操作系统年度技术会议(OS2ATC)上个月圆满落下帷幕。感谢各位观众对此次会议的关注!目前,会议各个会场的演讲PPT已整理完毕,欢迎下载。关注“鉴释”公众号,回复关键词 “OS2ATC”即可获得百度网盘下载链接。视频回放(进入页面后可点击“更多精彩”观看其它分会场视频回放):OS2ATC 2021主会场-CSDN直播https://live.csdn.net/room/csdnnews/RH4YIjic图片直播:https:/
2022-01-14 13:55:42 386 1
原创 鉴释人物丨专访解决方案负责人卜祥敏:直击业务痛点,赋能客户高效业务逻辑
从家门口的智能门锁到路上驰骋的自动驾驶车辆,人工智能、区块链、5G等新技术不断推动物联网的快速发展,在这背后离不开底层代码及技术架构的支持。那么软件开发人员如何快速识别代码缺陷和安全隐患?卜祥敏,鉴释解决方案负责人,专注于客户解决方案并推动鉴释的客户成功。2007年从北京航空航天大学软件工程硕士毕业后,加入Business Objects担任BI顾问。随后加入了SAP、IBM,曾任NLP技术公司的主管,在业务咨询和销售管理方面积淀十余年经验。我们邀请鉴释解决方案负责人卜祥敏为大家分享鉴释是如何.
2021-10-18 10:23:00 2290
原创 回顾|鉴释梁宇宁在嵌入式技术大会发表WASM安全性演讲
ELEXCON深圳国际电子展暨嵌入式系统展是港澳大湾区最大的电子类专业展览会,打通“智能设计-嵌入式系统-SiP系统级封装-供应链升级-AIoT生态圈”产业环节、面向电子工程师和嵌入式开发者的一场嘉年华盛宴。首日就突破2.6万观展人数。鉴释有幸受邀,CEO兼创始人梁宇宁在同期举行的中国嵌入式技术大会上,作为演讲嘉宾分享和讨论了基于WebAssembly (WASM) 技术在嵌入式领域的开发方法,包括WASM的优势、背景和工作原理;WASM面临的各项挑战及未来的发展趋势。从2015年开始...
2021-10-12 12:58:17 309
原创 直播回顾 | seL4 基金会主席谈物理系统安全工程实践
9 月 16 日下午,seL4 基金会主席、悉尼新南威尔士大学教授 Gernot Heiser,以及鉴释 CEO 梁宇宁,围绕下一代汽车操作系统微内核 seL4,在直播间分享了 seL4 的验证故事及其实际的工程实践,此次直播是中英双语进行,也体现了鉴释的国际化趋势。Gernot Heiser 教授开创了大规模系统代码形式验证的先河,特别是 seL4 微内核的设计、实现和形式验证。现在,这项设计被用于自动驾驶汽车、医疗设备、物联网系统和关键基础设施建设。seL4 微内核是世界上第一个具有实现正确性.
2021-09-23 15:06:02 324
原创 坚持客户第一!
本文作者:陆琰雯鉴释产品经理,加州大学洛杉矶分校MBA,香港大学计算机科学硕士,在财务、战略以及科技产品管理方面都有着较为丰富的经验。现在在鉴释主要负责产品设计、开发与发布。近年来,越来越多的企业开始关注代码安全问题。在软件开发过程中,越早开始检测到代码安全隐患,越早修复这些隐患,就可以更多地帮助企业节省成本、节约人力以及推动产品的发布上市。在这样的背景下,代码安全分析工具开始受到越来越多用户的关注,企业开始尝试使用代码安全分析工具,而随之而来的也有各种不同的用户反馈。在用户对于代码安全分析工具的
2021-09-17 18:12:18 191
原创 【预告】网络研讨会|下一代汽车操作系统微内核seL4:seL4基金会主席谈物理系统安全工程实践
seL4 微内核是世界上第一个具有实现正确性和安全执行的数学、机器检查证明的操作系统(OS)内核。它在Arm和RISC-V处理器上的全面证明仍然是独一无二的。它也是开源的、免费使用的性能基准,并得到中立的、非营利的 seL4 基金会的支持。多年前,它已在军用自主空中和地面车辆中得到证明,现在正被设计用于自动驾驶汽车、医疗设备、物联网系统和关键基础设施。目前,包括鉴释在内,已有多家自动驾驶、芯片等独角兽企业加入seL4基金会,例如理想、蔚来、莲花汽车、地平线等,共同推动seL4微内核的发展。(查...
2021-09-15 12:01:47 1906
原创 直播回顾 | 做一个有格局的工程师
9月1日晚,鉴释科技CEO梁宇宁做客“极客时间”首席内容官小盖的直播间,畅聊如何做一名有格局的工程师。直播中,他详尽分享自己在计算机行业的从业历程以及创立鉴释科技的初衷。从业历程和创业初衷梁宇宁先生首先回顾分享自己在创立鉴释之前的求学和从业经历。作为新加坡的南洋理工大学的研究毕业生,他有幸加入全球最大数字与信息技术产品生产商美国施乐公司(Xerox Corporation),负责图像处理和复印机技术直至2005年,并在此期间掌握制作复印机的所有功能。此外,他曾在三星、诺基亚、华为等多家世界5
2021-09-03 18:15:15 405
原创 CERT和CWE之间有什么联系?
高达90%的软件安全问题是由编码错误引起的,这就是实践安全编码规范必不可少的原因。本文将讨论编码标准其中的两种:CWE和CERT,并解释它们之间的联系。CWE常见缺陷列表“CWE™️是由社区开发,有关软件和硬件缺陷的类型列表,界定安全有关的词汇、作为安全工具的衡量标准,以及识别漏洞、修复和预防安全隐患的基准”。因此业界对它有统一的名称和描述,利于软件分析工具识别导致安全缺陷的编码错误。CWE枚举了设计和架构缺陷以及低级编码和设计错误的清单,使开发人员更好地设计应用程序的架构。C.
2021-08-26 13:16:29 3414 1
原创 为什么代码会有好坏?
这是一个知友提出的问题。面对这样的提问,相信每个程序员都会有自己独特的经历来验证代码好坏。相对来说,什么是好代码并不是一个简单能衡量的, 但是一段“烂代码”却有一千种不同的样子。于是,我们请来了鉴释的工程师为大家深入浅出地回答这个问题:问:你见过最烂的代码长什么样子?答:与其说最烂的代码长什么样子,倒不如聊聊为什么代码有好坏?什么才是好代码?场景 1:程序员 1:代码写的太烂怎么办?程序员 2:能跑吗?能跑就没问题。程序员 1:能跑是指程序能跑,还是我能跑?程序...
2021-08-19 12:53:46 266
原创 直播回顾 | 为什么在开发流程中应用静态代码分析工具?
在7月29日结束的网络研讨会上,鉴释首席科学家李隆博士详细解读了静态代码分析的原理以及它如何应用在SDLC中。此外,他还讨论了静态代码分析在实际应用中面临的挑战。静态代码分析也称为静态应用程序安全测试 (SAST),它是一组旨在分析应用程序源代码、字节码和二进制文件以识别缺陷和漏洞的技术。简而言之就是在未运行程序的情况下通过对程序的分析,发现程序中潜在的漏洞和安全隐患。当静态代码分析应用在软件开发周期时,主要有两种不同的应用场景,一种是以独立运行的方式应用在日常开发中,另一种更加主流的方式是将.
2021-08-05 11:40:54 238
原创 鉴释宣布加入RISC-V基金会、Linux基金会、seL4基金会与IoXt联盟,旨在实现静态代码分析服务的全方位赋能
2021年7月19日,中国深圳——近日,静态代码工具开发商鉴释科技(下文简称:鉴释)宣布其加入RISC-V基金会、Linux基金会、seL4基金会,以及IoXt联盟四大国际非盈利组织。此次加入芯片、开源操作系统、操作系统微内核与物联网四大热门领域内的知名国际组织,标志着鉴释将把国际认可的高质量代码检测工具与行业洞察传递给国内客户,通过综合多行业视角与经验,赋能企业高效提升代码质量。其中,开源指令集架构RISC-V基金会于2015年成立,意在通过开放标准协作建立良好生态,开启处理器创新的新时代,且基金
2021-07-29 15:47:37 246
原创 网络研讨会|为什么在开发流程中应用静态代码分析工具?
静态代码分析工具已经被越来越多的企业研发团队应用到CI/CD流程当中,在程序员每次提交代码的时候,自动运行代码扫描,识别可能存在的潜在漏洞,以保证在开发早期发现问题、修复问题,降低修复成本、提高开发效率。 那么静态代码分析,这样一款解放程序员生产力的工具,为什么一直以来普及比较缓慢?本期网络研讨会主讲人鉴释首席科学家——李隆博士,将为您解读静态代码分析的实现原理是什么,它面临怎样的问题,导致一些企业仍在观望阶段?本次网络研讨会,您将会了解到:静态代码的基本原理是什么? 静态代码分析现在面临的.
2021-07-23 17:24:13 193
原创 直播回顾丨鉴释首席架构师刘新铭为您解读“第一性原则”
2021 年 5 月 21 日,鉴释联合创始人兼首席架构师刘新铭向广大程序开发工作者分享了他对时下大热的概念——“第一性原则”的解读,及其在程序开发设计和源代码质量中的应用。第一性原则由硅谷钢铁侠埃隆·马斯克一手带火的“第一性原则”概念,其实可以追溯到 2000 多年前的古希腊思想家亚里士多德所提出的概念:在任何一个系统中,都存在第一性原则,这个最基本的命题或假设是不能被省略或违反的。试想一下,我们是否总是倾向于学习他人经验?这并非是一种错误的方式,但如此获得的迭代发展往往是微小的,只有拨开冗杂
2021-07-23 14:16:27 438
原创 专访丨兼容国内外市场的代码分析软件,鉴释科技帮助企业减少bug发生率
出品丨创业邦记者丨丁健受访者丨赵科林2021年4月19日上午11时25分左右,特斯拉展台里一女士站上Model 3车顶,连续高喊:“特斯拉刹车失灵!”引发社会热议。4月19日当日美股收盘,特斯拉股价下跌3.4%,报714.63美元,最新市值为6859亿美元。与前一交易日7100亿美元的市值相比,蒸发约241亿美元。特斯拉刹车系统是否真的失灵一事目前并未有任何官方消息。但我们不难想象一旦某家汽车企业被爆出刹车系统软件存在bug后,市场对其态度的变化。换句话说:你敢买一台刹车系统有bug
2021-07-23 14:16:18 427
原创 我们三岁啦!
寒来暑往,鉴释已经三岁。三年来,我们已经累计扫描了100,000,000行代码来检查错误和缺陷。得益于我们出色的合作伙伴、客户和优秀的员工的支持,我们希望在未来能扫描更多的代码!三周年快乐!...
2021-07-22 03:13:52 187
原创 专访|鉴释首席架构师刘新铭:让软件开发更安全、更高效
近日鉴释首席架构师刘新铭接受51CTO记者的专访。刘新铭分享他从业十余年来的一线开发经验,和创立鉴释的初衷。以下是采访原文:鉴释科技刘新铭:让软件开发更安全、更高效出品 |51CTO 记者 |赵立京受访者| 刘新铭随着互联网行业的飞速发展,IT从业者成为了一个备受关注的群体,“程序猿”、“码农”、“攻城狮”这些绰号中多少都带着些许的自嘲味儿,因为随着年龄的增长,他们面临着越来越窄的职业上升通道,在我国,似乎很少看到40岁以上的程序员,35岁成为了IT从业者的一道坎。刘新铭先生,...
2021-07-22 03:12:22 431
原创 鉴释人物丨专访首席科学家李隆: 重一步业务逻辑验证,省百步漏洞补缺
作者:李隆博士,目前担任鉴释科技核心技术的首席科学家,专注于代码验证基础架构。近年来,随着人工智能和物联网的兴起和广泛应用,人们生活的方方面面被各种“智能”、“自动”的服务所渗透,为提供这些服务而开发的大量软件应运而生。遗憾的是,软件的质量并没有随着软件行业的大繁荣而得到明显提升,数据显示,82%的漏洞来源于应用程序;每1000行应用程序源代码中就有1个安全问题;每1400行中就有1个高危问题。软件规模、数量的大爆发也带来了漏洞数量的大爆发。面临这样的严峻考验,由鉴释自主研发的爱科识应运而生。今天我
2021-07-22 03:07:59 252
原创 我们该如何应对日益增长的安全债务风险?
我们经常提到“技术债务”一词,它指的是将来需要在某个时候完成的潜在工作,因为这些工作并没有在应用程序部署之前的开发周期中完成。因为产品急需推出,通常那些原本要纳入发布版本的功能不得不舍弃,导致推出的产品功能不够全面和出色。这种方法已被采用多年,因为交付更高质量的产品非常耗时,这意味着无法按时完成任务。但是,对企业而言更重要的是“安全债务”。什么是安全债务?简单说,它是技术债务的一种变体,其原因是在软件开发过程中缺乏适当的测试,并将这项工作推迟到将来。因此,随着应用程序的不断变化和发展,安全缺陷和漏洞
2021-07-22 03:05:07 224
原创 鉴释人物丨专访首席技术官陈新中:三十年磨一“鉴”, 打造静态代码分析行业标杆
陈新中,鉴释联合创始人兼首席技术官作为鉴释联合创始人兼首席技术官,陈新中领导鉴释在中国的核心研发团队,并负责静态代码分析工具的开发。这些工具都被开发人员、测试人员、质量保证专家和高级 IT 管理层用于深度源代码缺陷和漏洞的检测。01作为鉴释强大技术背后的推动力,您能简单介绍一下自己吗?陈新中:作为一名编译器开发者,我从业已30多年。说到我在编译器方面的经历,就需要在这里先解释一下:在计算机中有两种中央处理器设计模式,一种是精简指令集,另一种是复杂指令集。精简指令集是上世纪80年代初由两位教..
2021-07-22 03:03:30 331
原创 鉴释×RT-Thread丨2020 RT-Thread开发者大会精彩回顾
12月21日,由鉴释与RT-Thread共同举办的2020RT-Thread开发者大会(RDC)在“中国硅谷”深圳如期举行,大会现场菁英荟萃,不仅有学术大咖们坐镇主题演讲,更有业内人士在不同专场分享宝贵经验,此外还有鉴释Lab的捉“虫”擂台赛,让工程师们在代码世界中战个痛快!12月21日,专注于深度静态代码分析领域的鉴释于大会现场与业界领先的物联网操作系统RT-Thread签署了战略合作备忘录,共同为RT-Thread及其物联网操作系统的终端用户提供基于深度静态代码扫描的源代码分析服务、软件开发生命周.
2021-07-22 02:59:02 232 1
原创 “Talk is cheap, show me the code”你一行代码有多少漏洞?
受访者 | 梁宇宁记者 | 伍杏玲出品 | CSDN(ID:CSDNnews)平常程序员喜欢说“Talk is cheap, show me the code”这句话,可是你知道你敲下的一行代码背后,有多少漏洞?据《代码大全(第二版)》显示,平均而言,软件交付中每 1000 行代码大约有 1-25 个错误。如何高效化、自动化、准确定位代码漏洞成为不少开发者和管理者头疼的问题。关注软件质量的鉴释于 2018 年成立,推出的爱科识静态代码分析工具得到较好的反响,目前刚完成 A+ 轮融资的鉴释发展
2021-07-22 02:55:55 385
原创 抓住“开源盛世“,这个工具你必须了解一下
过去的五年中,开源技术的发展和应用如火如荼,逐渐渗透到软件开发的各大领域,俨然“开源盛世”,市场一片繁荣。开源软件帮助企业或组织大大缩短开发周期、更快的推出创新产品。利用开源软件现在被证明是一种更快发布产品的方法。开源虽好,但你可知开源软件自身的各种质量和缺陷问题,以及潜在的风险在哪里?无论你是程序员、质检人员,或者是公司的管理者,你都需要清楚地了解使用开源对代码质量,以及漏洞的影响。开源的好处知多少?开源是指计算机程序的源代码或文档可供公开获取和自由使用,或者对原始设计进行修改、编辑,并在软件
2021-07-22 02:46:26 142
原创 不保护数据的代价!
科技改变生活,随着大数据、云计算、人工智能等新技术的运用,数字经济飞速发展,但这同时也给用户和企业的数据隐私保护带来了严峻挑战。数据泄露仍是首席信息安全官(CISO)的首要关注问题。随着用户、移动应用程序和用户数据呈指数增长,越来越多平台获取数据的访问权限,这使得人们更难分辨是否应该给予平台数据访问权限。许多企业目前依然主要依靠传统的边界安全方法来保护数据隐私,然而收效甚微。近期,IBM security和Ponemon联合发表《2019数据泄露事件成本报告》。报告指出,2019年平均每个数据泄漏事..
2021-07-22 02:35:01 153
原创 鉴释陈新中:源代码安全在物联网时代的重要性
随着5G时代的步步走近,互联网正加速向物联网升级,从路由器、语音信箱到智能家电、工业设备,越来越多的实体物品通过互联网数据更加紧密地联结。但随即而来的就是信息安全问题,其中代码缺陷问题使得软件系统安全更加脆弱,就在今年6月,有研究人员发现戴尔预装的SupportAssist组件存在DLL劫持漏洞,全球超过1亿台设备面临网络攻击风险。也正因如此,代码缺陷分析的必要性愈加凸显。本期我们采访到了鉴释联合创始人兼首席技术官陈新中,邀请他就物联网时代的软件安全状况及如何通过静态分析提高源代码的安全与质量等问...
2021-07-22 02:05:00 530 1
原创 鉴释课堂丨编译器技术入门知识一网打尽
近10年,摩尔定律逐渐失效,芯片性能已经摸到了天花板。功率消耗与优化的基石——编译器技术再次进入了人们视野,我们请到了鉴释静态代码分析工具爱科识(Xcalscan)研发负责人赖建新,通过通俗的语言与示例带大家走近编译器技术。这次分享将分为共六个问题向大家介绍:什么是编译器技术? 初学编译器技术的开发者需要具备哪些基础? 当今现代编译器的关键挑战是什么? 编译器中哪个部分最重要? 编译器技术除了生成代码在进程或VM中执行之外,是否还有其他领域使用编译器技术? 为什么数据流分析在发现程序问题(
2021-07-21 15:39:52 924
原创 鉴释人物丨专访首席技术官陈新中:三十年磨一“鉴”, 打造静态代码分析行业标杆
陈新中,作为鉴释联合创始人兼首席技术官,陈新中领导鉴释在中国的核心研发团队,并负责静态代码分析工具的开发。这些工具都被开发人员、测试人员、质量保证专家和高级 IT 管理层用于深度源代码缺陷和漏洞的检测。01. 作为鉴释强大技术背后的推动力,您能简单介绍一下自己吗?陈新中:作为一名编译器开发者,我从业已30多年。说到我在编译器方面的经历,就需要在这里先解释一下:在计算机中有两种中央处理器设计模式,一种是精简指令集,另一种是复杂指令集。精简指令集是上世纪80年代初由两位教授提出的,他们在几年前获得了计算
2021-07-01 12:28:07 160
原创 鉴释×中科院计算所丨OS2ATC 2020精彩回顾
OS2ATC 2020开源操作系统年度技术会议2020年12月27日,由中国科学院计算研究所主办,清华大学、上海交通大学以及鉴释科技承办的第八届开源操作系统年度技术会议(OS2ATC)在北京正式拉开序幕,百余位业界菁英莅临现场,围绕大会主题“开源协作”共同发表真知灼见。此次大会以线上线下结合的模式举办,共吸引了超过500名业内人士参加,其中包括身经百战的工程师,知名互联网和科技企业CTO、知名项目负责人,以及顶级学府的专家教授,共同围绕“开源协作”的话题展开讨论。参会嘉宾合影留念主会
2021-07-01 12:20:57 715
原创 漏洞非小事,金融服务机构如何对抗代码缺陷?
在全球金融行业数字化转型与升级的大趋势下,不论是传统银行业的联网业务和手机银行业务,还是移动支付、P2P金融乃至数字货币,金融行业新技术和新应用层出不穷,银行业、证券业、保险业纷纷都开始依赖应用软件进行业务的拓展及维护。面对日益激烈的商业竞争,市场不等待,也要求开发者缩短开发和创新的时间!而在快节奏的软件开发环境中,由于代码缺陷造成的软件系统漏洞却给推向市场的金融应用埋下了安全隐患。金融服务机构该如何应对这些威胁呢?金融机构应用安全漏洞2018年,金融行业漏洞数量增长趋势势头不减,不论是漏洞的规..
2021-07-01 12:08:02 1509
原创 鉴释人物 | 专访产品开发总监吴翔:DevSecOps的竞技之道
吴翔是鉴释的产品开发总监,主要负责内部DevOps流程管理、产品测试及客户售后的技术支持和服务。DevSecOps(开发安全运维)从DevOps(开发运维)演变而来,是近年的热门概念。您如何理解 DevSecOps对信息安全的影响?吴翔:DevOps是开发(Development)与运维(Operations)相结合的称呼。在DevOps的理念下,软件开发人员和运维人员紧密合作。随着移动互联网的加速发展,敏捷开发模式的流行,可打破业务隔离、提高效率的DevOps受到广泛欢迎。然而,软件开发周期的
2021-07-01 12:03:27 525
原创 提升源代码安全管控,从源头保护敏感数据
在数据时代,数据安全无疑是最受人们关注的。互联网兴起以来,数据安全就一直是热点话题,频频出现在各大新闻头条。从国家机构、金融行业,到互联网行业,数据安全涉及广泛的领域。企业一旦遭遇数据泄漏,或许会带来营收下降、声誉受损、高额经济处罚、诉讼等后果,对任何企业而言都可能是致命打击。目前,市面上的数据防泄漏的相关产品(DLP)从传统的管控型、行为监察型,逐步向内容感知型发展。尽管如此,这些产品仍然以被动防护为主,主动防护能力不足,特别是针对隐藏数据的可逃避性追踪。那么,究竟是否有一种行之有效的方法,可以弥补这
2021-07-01 12:00:14 948
原创 鉴释获得 A+ 轮融资,将加强对新技术的投资并扩展中国团队规模
专注于深度静态代码分析领域的鉴释,于2020年完成由将门创投及红点创投中国基金(红点中国)联合领投的 A+ 轮融资。鉴释计划将该笔资金用于新技术及新产品的研发,产品组合及客户服务的优化,进一步扩大在中国市场的运营,助力中国软件产业的发展。鉴释联合创始人团队(左起:梁宇宁、陈新中、刘新铭、赵科林)鉴释首席执行官梁宇宁先生表示:“鉴释拥有世界级的编译器和静态分析技术专长,致力于通过新一代的编译器技术,助力软件开发人员快速识别代码缺陷和安全隐患。得益于本轮融资,鉴释将利用自身专长,为科技创新者..
2021-07-01 11:36:17 154
原创 把凭据嵌入源代码,来看看你的代码里有这样的操作吗?
每个人都在担心自己的用户名和密码会被暴露给黑客,但为什么现在很多程序员仍然在软件中使用嵌入式凭据?嵌入式凭据,也称为硬编码密码,被写入源代码,可以让程序员在软件开发过程中的工作变得轻松一些。硬编码密码是指源代码中使用明文密码或者其它敏感信息,例如:如账号密码,SSH keys, DevOps 密码等等。它们通常存在于硬件,固件,脚本,应用程序,软件中,用于帮助开发人员快速访问产品,这确实会让编程变得方便一些,尤其是在开发阶段部署新系统的时候。黑客喜欢嵌入式凭据,会定期从应用程序中寻找它们。近年来,随..
2021-07-01 11:27:30 229
原创 抓住“开源盛世“,这个工具你必须了解一下
过去的五年中,开源技术的发展和应用如火如荼,逐渐渗透到软件开发的各大领域,俨然“开源盛世”,市场一片繁荣。开源软件帮助企业或组织大大缩短开发周期、更快的推出创新产品。利用开源软件现在被证明是一种更快发布产品的方法。开源虽好,但你可知开源软件自身的各种质量和缺陷问题,以及潜在的风险在哪里?无论你是程序员、质检人员,或者是公司的管理者,你都需要清楚地了解使用开源对代码质量,以及漏洞的影响。开源的好处知多少?开源是指计算机程序的源代码或文档可供公开获取和自由使用,或者对原始设计进行修改、编辑,并在软件..
2021-07-01 11:21:53 153
原创 赖建新:关于静态代码分析的问与答
作者:赖建新有着丰富的编译器优化和高级程序静态分析的经验。在2006年获得清华大学计算机科学硕士学位之后,他加入了惠普的编译器团队,先后担任编译器开发工程师,编译器后端架构师和项目经理等职位,参与了开源编译器Open64,HP-UX产品编译器aCC和HP Non-Stop编译器项目,并于2018年加入鉴释。你现在的工作内容是什么?我现在的工作是带领鉴释核心开发团队开发下一代的程序静态分析工具(SAST),这个分析引擎是鉴释静态分析工具工具产品的核心组件。分析引擎将用户输入的源代码转换为编译器中间表示..
2021-06-30 19:33:30 284
原创 给需要关心安全的技术人员的一些建议
随着网络的发展,特别是移动互联网的发展,网络服务与我们个人生活联系得越来越紧密;办理金融业务,生活缴费,获取资讯等等,都从线下搬到了线上。一个新的时代必将到来或者已经到来,那就是万物互联的时代。与此同时,网络安全事件频发,安全事故的危害越来越大,互联网从业者需要越来越注重安全问题。这里分享一些心得给刚刚接触网络安全的开发者们。1. “安全”是什么对于没有接触过安全的开发人员来讲,一个常见的问题是:如何写出安全的代码或做出安全的系统。为了找到答案,我们就必须对安全的定义有所了解。“安全”是一个很宽
2021-06-30 19:29:43 138
原创 不保护数据的代价!
科技改变生活,随着大数据、云计算、人工智能等新技术的运用,数字经济飞速发展,但这同时也给用户和企业的数据隐私保护带来了严峻挑战。数据泄露仍是首席信息安全官(CISO)的首要关注问题。随着用户、移动应用程序和用户数据呈指数增长,越来越多平台获取数据的访问权限,这使得人们更难分辨是否应该给予平台数据访问权限。许多企业目前依然主要依靠传统的边界安全方法来保护数据隐私,然而收效甚微。近期,IBM security和Ponemon联合发表《2019数据泄露事件成本报告》。报告指出,2019年平均每个数据泄漏事..
2021-06-30 19:26:00 144
原创 为什么“内存管理”漏洞值得你的绝对关注!
在IT业务环境中,客户数据是关注的焦点。因此,保护客户数据自然是任何IT专业人员最重要的责任。许多国家或组织已经立法要求,数据在静态存储和移动过程中必须为加密状态。这会使许多人觉得如果IT系统符合法律要求,数据就是安全的。实际情况是数据在CPU操作期间依然需要被解密。因此,需要密码和密钥才能启用数据加密和解密。除此之外,数据管理员还需要能够在用户丢失密码或密钥时恢复数据。总之,数据在解密状态期间,以及所有处于解密和加密状态转换期间,容易被黑客恶意利用。让我们重点关注一下解密状态下的数据。用户的密码或..
2021-06-30 19:19:53 195
原创 鉴释首席运营官赵科林:“质量第一”思维模式
为了确保每天编写数千行代码的高质量和安全性,开发人员面临着越来越大的压力。此外还要确保开发团队能够高效率、高成本效益地工作,并保持创新与创意的自由。对此最普遍的解决方案是在软件开发生命周期(SDLC)过程结束时进行验证测试,这样可以把漏洞数量减至最低,但这样会导致更多、更复杂的工作以及更高的成本。在中国,开发人员已经日渐成熟,并通过使用灵活敏捷的创新方法取得了成功。这促使了为适应中国市场时间表而实现的灵活创建的产品快速发展。通常,这样的情况下公司往往没有建立适当的流程、文档和管理。然而伴随中国公司的发展及海
2021-06-30 19:13:39 105
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人