CERT和CWE之间有什么联系?

于 2021-08-26 13:16:29 发布
阅读量3.3k 收藏 3
点赞数 3
文章标签: 测试工具 代码规范
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xcalibyte/article/details/119925872
版权

高达90%的软件安全问题是由编码错误引起的,这就是实践安全编码规范必不可少的原因。本文将讨论编码标准其中的两种:CWE和CERT,并解释它们之间的联系。

 

CWE常见缺陷列表

“CWE™️是由社区开发,有关软件和硬件缺陷的类型列表,界定安全有关的词汇、作为安全工具的衡量标准,以及识别漏洞、修复和预防安全隐患的基准”。

因此业界对它有统一的名称和描述,利于软件分析工具识别导致安全缺陷的编码错误。CWE枚举了设计和架构缺陷以及低级编码和设计错误的清单,使开发人员更好地设计应用程序的架构。

CERT 安全编码标准

CERT是卡内基梅隆大学软件工程研究所的计算机应急响应小组为C、C++和Java开发的编码规范。其中的内容是接纳了全球范围的软件工程师社区的贡献而实现的。这些规范有据可查,使软件开发团队中得以强制执行,从而确保创建高质量、安全的代码。通过遵循一套统一的规则,软件开发人员可以按照企业制定的指导方针工作,而不是根据程序员个人可能未经过充分的试验和测试的偏好。一旦在企业内建立了标准,就可以使用它们来定量评估源代码的质量和漏洞。这可以通过手动代码审查或使用代码分析工具自动审查来实现。

CERT安全编码标准包括避免在编码和实现时的错误,以及其底层架构设计错误。

最低0.47元/天 解锁文章
鉴释
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
博客
OS2ATC 2024 | 活动即将开始,火热报名中!
02-21 177
大会将围绕“Al and system、硬件、内核、RISC-V架构、ARM架构、龙芯架构、编程技术、RUST、智能汽车和机器人、AIOT、云原生、虚拟化”等主题展开分享和讨论。已经连续举办了十届,在促进我国操作系统相关教学、研究与产业的发展、加强学术交流、展示产业界成果、展开跨学科的交流等方面已经卓有成效。
博客
OS2ATC|开源操作系统年度技术会议10周年
03-15 758
今年是OS2ATC大会10周年,我们继续邀请国内一线的操作系统专家和团队领导围绕如何“开源创新”进行深入探讨。
博客
开源操作系统年度技术会议演讲PPT下载来啦
01-14 336
由中科院软件所主办,清华大学、北京大学以及鉴释科技承办的第九届开源操作系统年度技术会议(OS2ATC)上个月圆满落下帷幕。感谢各位观众对此次会议的关注!目前,会议各个会场的演讲PPT已整理完毕,欢迎下载。关注“鉴释”公众号,回复关键词 “OS2ATC”即可获得百度网盘下载链接。视频回放(进入页面后可点击“更多精彩”观看其它分会场视频回放):OS2ATC 2021主会场-CSDN直播https://live.csdn.net/room/csdnnews/RH4YIjic图片直播:https:/
博客
鉴释人物丨专访解决方案负责人卜祥敏:直击业务痛点,赋能客户高效业务逻辑
10-18 2252
从家门口的智能门锁到路上驰骋的自动驾驶车辆,人工智能、区块链、5G等新技术不断推动物联网的快速发展,在这背后离不开底层代码及技术架构的支持。那么软件开发人员如何快速识别代码缺陷和安全隐患?卜祥敏,鉴释解决方案负责人,专注于客户解决方案并推动鉴释的客户成功。2007年从北京航空航天大学软件工程硕士毕业后,加入Business Objects担任BI顾问。随后加入了SAP、IBM,曾任NLP技术公司的主管,在业务咨询和销售管理方面积淀十余年经验。我们邀请鉴释解决方案负责人卜祥敏为大家分享鉴释是如何.
博客
回顾|鉴释梁宇宁在嵌入式技术大会发表WASM安全性演讲
10-12 270
ELEXCON深圳国际电子展暨嵌入式系统展是港澳大湾区最大的电子类专业展览会,打通“智能设计-嵌入式系统-SiP系统级封装-供应链升级-AIoT生态圈”产业环节、面向电子工程师和嵌入式开发者的一场嘉年华盛宴。首日就突破2.6万观展人数。鉴释有幸受邀,CEO兼创始人梁宇宁在同期举行的中国嵌入式技术大会上,作为演讲嘉宾分享和讨论了基于WebAssembly (WASM) 技术在嵌入式领域的开发方法,包括WASM的优势、背景和工作原理;WASM面临的各项挑战及未来的发展趋势。从2015年开始...
博客
直播回顾 | seL4 基金会主席谈物理系统安全工程实践
09-23 290
9 月 16 日下午,seL4 基金会主席、悉尼新南威尔士大学教授 Gernot Heiser,以及鉴释 CEO 梁宇宁,围绕下一代汽车操作系统微内核 seL4,在直播间分享了 seL4 的验证故事及其实际的工程实践,此次直播是中英双语进行,也体现了鉴释的国际化趋势。Gernot Heiser 教授开创了大规模系统代码形式验证的先河,特别是 seL4 微内核的设计、实现和形式验证。现在,这项设计被用于自动驾驶汽车、医疗设备、物联网系统和关键基础设施建设。seL4 微内核是世界上第一个具有实现正确性.
博客
坚持客户第一!
09-17 162
本文作者:陆琰雯鉴释产品经理,加州大学洛杉矶分校MBA,香港大学计算机科学硕士,在财务、战略以及科技产品管理方面都有着较为丰富的经验。现在在鉴释主要负责产品设计、开发与发布。近年来,越来越多的企业开始关注代码安全问题。在软件开发过程中,越早开始检测到代码安全隐患,越早修复这些隐患,就可以更多地帮助企业节省成本、节约人力以及推动产品的发布上市。在这样的背景下,代码安全分析工具开始受到越来越多用户的关注,企业开始尝试使用代码安全分析工具,而随之而来的也有各种不同的用户反馈。在用户对于代码安全分析工具的
博客
【预告】网络研讨会|下一代汽车操作系统微内核seL4:seL4基金会主席谈物理系统安全工程实践
09-15 1853
seL4 微内核是世界上第一个具有实现正确性和安全执行的数学、机器检查证明的操作系统(OS)内核。它在Arm和RISC-V处理器上的全面证明仍然是独一无二的。它也是开源的、免费使用的性能基准,并得到中立的、非营利的 seL4 基金会的支持。多年前,它已在军用自主空中和地面车辆中得到证明,现在正被设计用于自动驾驶汽车、医疗设备、物联网系统和关键基础设施。目前,包括鉴释在内,已有多家自动驾驶、芯片等独角兽企业加入seL4基金会,例如理想、蔚来、莲花汽车、地平线等,共同推动seL4微内核的发展。(查...
博客
直播回顾 | 做一个有格局的工程师
09-03 373
9月1日晚,鉴释科技CEO梁宇宁做客“极客时间”首席内容官小盖的直播间,畅聊如何做一名有格局的工程师。直播中,他详尽分享自己在计算机行业的从业历程以及创立鉴释科技的初衷。从业历程和创业初衷梁宇宁先生首先回顾分享自己在创立鉴释之前的求学和从业经历。作为新加坡的南洋理工大学的研究毕业生,他有幸加入全球最大数字与信息技术产品生产商美国施乐公司(Xerox Corporation),负责图像处理和复印机技术直至2005年,并在此期间掌握制作复印机的所有功能。此外,他曾在三星、诺基亚、华为等多家世界5
博客
为什么代码会有好坏?
08-19 238
这是一个知友提出的问题。面对这样的提问,相信每个程序员都会有自己独特的经历来验证代码好坏。相对来说,什么是好代码并不是一个简单能衡量的, 但是一段“烂代码”却有一千种不同的样子。于是,我们请来了鉴释的工程师为大家深入浅出地回答这个问题:问:你见过最烂的代码长什么样子?答:与其说最烂的代码长什么样子,倒不如聊聊为什么代码有好坏?什么才是好代码?场景 1:程序员 1:代码写的太烂怎么办?程序员 2:能跑吗?能跑就没问题。程序员 1:能跑是指程序能跑,还是我能跑?程序...
博客
直播回顾 | 为什么在开发流程中应用静态代码分析工具?
08-05 201
在7月29日结束的网络研讨会上,鉴释首席科学家李隆博士详细解读了静态代码分析的原理以及它如何应用在SDLC中。此外,他还讨论了静态代码分析在实际应用中面临的挑战。静态代码分析也称为静态应用程序安全测试 (SAST),它是一组旨在分析应用程序源代码、字节码和二进制文件以识别缺陷和漏洞的技术。简而言之就是在未运行程序的情况下通过对程序的分析,发现程序中潜在的漏洞和安全隐患。当静态代码分析应用在软件开发周期时,主要有两种不同的应用场景,一种是以独立运行的方式应用在日常开发中,另一种更加主流的方式是将.
博客
鉴释宣布加入RISC-V基金会、Linux基金会、seL4基金会与IoXt联盟,旨在实现静态代码分析服务的全方位赋能
07-29 218
2021年7月19日,中国深圳——近日,静态代码工具开发商鉴释科技(下文简称:鉴释)宣布其加入RISC-V基金会、Linux基金会、seL4基金会,以及IoXt联盟四大国际非盈利组织。此次加入芯片、开源操作系统、操作系统微内核与物联网四大热门领域内的知名国际组织,标志着鉴释将把国际认可的高质量代码检测工具与行业洞察传递给国内客户,通过综合多行业视角与经验,赋能企业高效提升代码质量。其中,开源指令集架构RISC-V基金会于2015年成立,意在通过开放标准协作建立良好生态,开启处理器创新的新时代,且基金
博客
网络研讨会|为什么在开发流程中应用静态代码分析工具?
07-23 168
静态代码分析工具已经被越来越多的企业研发团队应用到CI/CD流程当中,在程序员每次提交代码的时候,自动运行代码扫描,识别可能存在的潜在漏洞,以保证在开发早期发现问题、修复问题,降低修复成本、提高开发效率。 那么静态代码分析,这样一款解放程序员生产力的工具,为什么一直以来普及比较缓慢?本期网络研讨会主讲人鉴释首席科学家——李隆博士,将为您解读静态代码分析的实现原理是什么,它面临怎样的问题,导致一些企业仍在观望阶段?本次网络研讨会,您将会了解到:静态代码的基本原理是什么? 静态代码分析现在面临的.
博客
直播回顾丨鉴释首席架构师刘新铭为您解读“第一性原则”
07-23 398
2021 年 5 月 21 日,鉴释联合创始人兼首席架构师刘新铭向广大程序开发工作者分享了他对时下大热的概念——“第一性原则”的解读,及其在程序开发设计和源代码质量中的应用。第一性原则由硅谷钢铁侠埃隆·马斯克一手带火的“第一性原则”概念,其实可以追溯到 2000 多年前的古希腊思想家亚里士多德所提出的概念:在任何一个系统中,都存在第一性原则,这个最基本的命题或假设是不能被省略或违反的。试想一下,我们是否总是倾向于学习他人经验?这并非是一种错误的方式,但如此获得的迭代发展往往是微小的,只有拨开冗杂
博客
专访丨兼容国内外市场的代码分析软件,鉴释科技帮助企业减少bug发生率
07-23 394
出品丨创业邦记者丨丁健受访者丨赵科林2021年4月19日上午11时25分左右,特斯拉展台里一女士站上Model 3车顶,连续高喊:“特斯拉刹车失灵!”引发社会热议。4月19日当日美股收盘,特斯拉股价下跌3.4%,报714.63美元,最新市值为6859亿美元。与前一交易日7100亿美元的市值相比,蒸发约241亿美元。特斯拉刹车系统是否真的失灵一事目前并未有任何官方消息。但我们不难想象一旦某家汽车企业被爆出刹车系统软件存在bug后,市场对其态度的变化。换句话说:你敢买一台刹车系统有bug
博客
我们三岁啦!
07-22 162
寒来暑往,鉴释已经三岁。三年来,我们已经累计扫描了100,000,000行代码来检查错误和缺陷。得益于我们出色的合作伙伴、客户和优秀的员工的支持,我们希望在未来能扫描更多的代码!三周年快乐!...
博客
专访|鉴释首席架构师刘新铭:让软件开发更安全、更高效
07-22 386
近日鉴释首席架构师刘新铭接受51CTO记者的专访。刘新铭分享他从业十余年来的一线开发经验,和创立鉴释的初衷。以下是采访原文:鉴释科技刘新铭:让软件开发更安全、更高效出品 |51CTO 记者 |赵立京受访者| 刘新铭随着互联网行业的飞速发展,IT从业者成为了一个备受关注的群体,“程序猿”、“码农”、“攻城狮”这些绰号中多少都带着些许的自嘲味儿,因为随着年龄的增长,他们面临着越来越窄的职业上升通道,在我国,似乎很少看到40岁以上的程序员,35岁成为了IT从业者的一道坎。刘新铭先生,...
博客
鉴释人物丨专访首席科学家李隆: 重一步业务逻辑验证,省百步漏洞补缺
07-22 226
作者:李隆博士,目前担任鉴释科技核心技术的首席科学家,专注于代码验证基础架构。近年来,随着人工智能和物联网的兴起和广泛应用,人们生活的方方面面被各种“智能”、“自动”的服务所渗透,为提供这些服务而开发的大量软件应运而生。遗憾的是,软件的质量并没有随着软件行业的大繁荣而得到明显提升,数据显示,82%的漏洞来源于应用程序;每1000行应用程序源代码中就有1个安全问题;每1400行中就有1个高危问题。软件规模、数量的大爆发也带来了漏洞数量的大爆发。面临这样的严峻考验,由鉴释自主研发的爱科识应运而生。今天我
博客
我们该如何应对日益增长的安全债务风险?
07-22 198
我们经常提到“技术债务”一词,它指的是将来需要在某个时候完成的潜在工作,因为这些工作并没有在应用程序部署之前的开发周期中完成。因为产品急需推出,通常那些原本要纳入发布版本的功能不得不舍弃,导致推出的产品功能不够全面和出色。这种方法已被采用多年,因为交付更高质量的产品非常耗时,这意味着无法按时完成任务。但是,对企业而言更重要的是“安全债务”。什么是安全债务?简单说,它是技术债务的一种变体,其原因是在软件开发过程中缺乏适当的测试,并将这项工作推迟到将来。因此,随着应用程序的不断变化和发展,安全缺陷和漏洞
博客
鉴释人物丨专访首席技术官陈新中:三十年磨一“鉴”, 打造静态代码分析行业标杆
07-22 274
陈新中,鉴释联合创始人兼首席技术官作为鉴释联合创始人兼首席技术官,陈新中领导鉴释在中国的核心研发团队,并负责静态代码分析工具的开发。这些工具都被开发人员、测试人员、质量保证专家和高级 IT 管理层用于深度源代码缺陷和漏洞的检测。01作为鉴释强大技术背后的推动力,您能简单介绍一下自己吗?陈新中:作为一名编译器开发者,我从业已30多年。说到我在编译器方面的经历,就需要在这里先解释一下:在计算机中有两种中央处理器设计模式,一种是精简指令集,另一种是复杂指令集。精简指令集是上世纪80年代初由两位教..

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值