SDL中 代码审计各种坑和处理办法

最新推荐文章于 2023-03-27 09:55:36 发布
最新推荐文章于 2023-03-27 09:55:36 发布
阅读量358 收藏
点赞数
原文链接:https://my.oschina.net/9199771/blog/3096603
版权

1: 代码审计的java工程编译问题

在代码审计中,你会发现有些工程的依赖jar包不完整或者物理隔离导致的java工程无法编译

最好的办法就是找到编译通过的开发工程师把他的maven仓库完整的复制过来

删掉里面所有的 

_remote.repositories

这个文件(别问为什么,就这么干)

然后使用命令

mvn -o clean install

-o 这个参数代表离线模式,可以保证只在本地的maven仓库进行查找依赖

这样就能保证编译通过了

 

2:代码审计的问题管理和追溯问题

代码审计必须追溯到人,也就是代码最后提交人,只有这样才能保证代码的持续改进,之前遇到过由项目组组长管理代码改进,一旦出现项目进度很赶,账号公用,最终项目的修改人就会出现混乱,互相推诿扯皮。

gitlab的代码提交人是依照邮箱为追溯标准的

首先打开git gui的选项

8ad3d38743aaac74e5476e8272fe3b65962.jpg

关注一个如下图的地方一个就是编码要改成utf8 还有就是gitlab所记录的提交人以邮箱为准:

4825f2f29ea3be388cfb01b566707447e73.jpg

这里的邮箱也就是命令行里面的

git config --global user.email "zhangsan2@qq.com.cn"

gitlab中记录的代码提交人与控制面板中的凭据管理器中的凭据是无关的

然后用自动化的代码审计工具进行分析后,就能把问题定责到个人,保证代码审计的落地。

但是同时在开发过程中要注意一个细节:

如下图参照gitlab在合并代码的时候不要选择合并提交, 如果合并提交的话代码提交人会变成合并人的身份,导致代码实际提交人的记录无法追溯

d87cac3da765288b47b47018beeb339afa1.jpg

 

3. git几个要统一化的参数避免隐蔽的坑

# 保证长文件名可用
git config --global core.longpaths true

# 使用core.autocrlf 保证不同操作系统的换行符号兼容性
# 参考地址 https://blog.csdn.net/asahinokawa/article/details/85988837
# ide能自适应换行符 所以最好把代码的换行进行统一化

git config --global core.autocrlf input

 

转载于:https://my.oschina.net/9199771/blog/3096603

chuai5828
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Fortify安全扫描Java Android 代码审计 问题及解决方案整理
Swallow的博客
10-16 7711
Access Control: SecurityManager Bypass Explanation 使用通过即时调用者的类加载器检查执行任务的 Java API 时应小心谨慎。这些 API 会绕过可确保已向执行链的所有调用者授予了必需安全权限的 SecurityManager 检查。由于这些 API 可能会削弱系统安全性,因此不应在不可信认的代码上调用它们。 在这种情况下: 1. 可以通过...
学习Java代码审计时4个常见问题,几乎每个学员都会遇到
Ms08067安全实验室
05-27 308
出品|MS08067实验室(www.ms08067.com)通过想要入门Java代码安全审计的朋友们进行交流,发现朋友们对这几个问题有着比较高的关注度:问题1:在参与系列课程前,需要把J...
代码审计总结
m0_48907714的博客
04-29 1万+
代码审计流程、代码审计流程、代码审计实操、代码审计提升
SDL项目实战—渗透测试【含代码审计
isxiaole的博客
03-23 3414
背景 公司内部SDL安全审计阶段,大致浏览系统迭代系统的功能点。发现迭代版本新增文件管理功能,包括文件获取、复制、下载、上传,脑海飘过五个大字: TND有漏洞啊 ! 渗透流程 文件下载处抓包 ...
SDL实践指南】人工代码审计思路
Fly_鹏程万里
03-27 216
SDL安全测试环节的代码审计部分我们通常会使用代码审计工具对源代码进行安全扫描并对扫描结果进行审核从而筛选出其存在的安全问题并以安全单的形式提交给研发人员进行修复,代码审计工具的好处在于快速全量,但是也会存在很多的误报和漏报问题,故而部分企业在有时间的情况下还会采用人工审核的方式对源代码进行二次安全审计,但是人工审计也存在一个普遍的安全问题就是耗时长且难以保证代码的完全覆盖
SDL[代码审计方案]
0x00的博客
07-05 1295
1.背景和需求 背景: 目前大部分企业的安全都存在问题,修复完了以后随着业务的变更又出现了新的问题,该怎么解决呢??? .....此处省略100字的介绍... 需求: 为了防止一些通用型,业务逻辑和严重的poc漏洞产生,需要从根源上入手提高业务代码的安全质量 防止随着业务的更新和迭代出现新,老问题   2.解决方案和实现方法, 周期[排期] 目前现状:代码管理仓库不统一:gitlab...
SDL.rar_SDL源代码
09-24
在“SDL-1.2.15”这个版本,你将找到一系列的源文件、头文件、示例代码、文档和其他资源。通过学习这些源代码,开发者不仅可以了解如何使用SDL库,还能深入理解底层多媒体编程的原理,这对于任何希望从事游戏开发...
FFmpegSDL 音视频开发 ③ ( SDL 事件处理 )
最新发布
06-14
【FFmpeg】SDL 音视频开发 ③ ( SDL 事件处理 | SDL_Event 数据结构分析 | 事件处理流程 | SDL 事件获取函数 | SDL_WaitEvent 函数 ) https://hanshuliang.blog.csdn.net/article/details/139669401 博客源码快照 一...
SDL学习pdf和源代码
12-09
12. **社区和资源**:学习过程,了解并利用SDL的官方文档、论坛和社区资源,以获取更多帮助和支持。 总之,这个压缩包提供的学习资料应该能帮助初学者从零开始,逐步掌握SDL库的使用,直至能够独立开发基于SDL的...
卡马克 javame代码、文档和SDL代码
04-26
SDL代码,可能会看到使用SDL_Init()初始化系统,SDL_LoadBMP()加载位图,SDL_MapRGB()设置颜色格式,以及SDL_BlitSurface()进行屏幕渲染的代码片段。这些基本操作是构建任何SDL游戏或应用的基础。为了优化性能,...
SDL1.2文教程
01-11
表面是SDL的核心数据结构,代表一块内存区域和其相关的像素格式。 3. **事件处理**:SDL支持多种事件,如键盘输入、鼠标移动、窗口事件等,通过`SDL_PollEvent`或`SDL_PeepEvents`函数来处理这些事件。 4. **...
SDL[项目安全评审]
0x00的博客
04-28 2443
操作流程 1.分析项目需求流程,功能,架构文档 2.安全风险,stride威胁建模,隐私保护(GDPR) 3.根据流程,功能,架构等提出安全需求【要求能落地】 4.建立草稿 5.建立文档[根据1,2,3 +名词解释,安全需求对应的作用等] 6.平台录入存档   风险模型[例子]   1.1 数据威胁模型[数据属性:id,name] 注入攻击 越权攻击 XXE攻击 SSR...
代码审查问题及解决方案
weixin_44792817的博客
10-22 9521
bug类型: 1、".equals()" should not be used to test the values of "Atomic" classes. bug 主要 不要使用equals方法对AtomicXXX进行是否相等的判断 Atomic变量永远只会和自身相等,Atomic变量没有覆写equals()方法. 2、"=+" should not be used instead of "+=" bug 主要 "=+" 与 "=+" 意义不同 a =+ b;虽然...
微软SDL流程终极整理总结
Zichel77的博客
02-11 9495
微软软件安全开发流程(SDL) 微软SDL(Security Development Lifecycle)流程框架 安全保证的过程,重点是软件开发,但每个阶段都引入了安全和隐私的原则。 正在上传…重新上传取消 主要步骤 安全培训Training 1.1 Core Security Training核心安全培训 提高团队安全意识,对齐安全需求。 开发团队的所有成员都需要接受适当的安全培训,了解相关的安全知识,培训对象包括开发人员,测试人员、项目经理、产品经理等。项目期可开展针对性的培训,例如代码
java代码审计思维导图_SDLfortify 代码审计各种处理办法
weixin_39898011的博客
02-28 666
fortify扫描代码的前置问题:1)在使用foritfy的过程很多人会发现他在windows下默认使用gbk访问代码以及生成报告,这样会有好多乱码,其实解决方案很简单。添加环境变量 JAVA_TOOL_OPTIONS 这个变量的值为 -Dfile.encoding=UTF-8或者在bin目录下的auditworkbench.cmd 和ScanWizard.cmd 文件第一个set环...
SDL2源代码分析1:初始化(SDL_Init())
热门推荐
雷霄骅(leixiaohua1020)的专栏
11-01 4万+
打算花一段时间研究一下SDL的内部代码。前面几篇文章《最简单的视音频播放示例1:总述》记录了视频、音频播放的技术,文提及了SDL实际上封装了Direct3D,DirectSound这类的底层API。但是SDL究竟是如何封装的呢?这次打算深入其源代码一探究竟,看看它是如何封装这些API的。SDL简介有关SDL的简介在《最简单的视音频播放示例7:SDL2播放RGB/YUV》以及《最简单的视音频播放
SDL2踩记录
u010745620的博客
08-11 643
SDL2踩记录 SDL_SetRenderDrawColor 作用域 SDL_SetRenderDrawColor(renderer, 0, 0, 0, 255); // 最开始若没有这句,Clear的颜色会使用后面设置的blue SDL_RenderClear(renderer); SDL_SetRenderDrawColor(renderer, 0, 0, 255, 255);...
代码审计方法与步骤
u011215939的博客
01-09 4237
代码审计方法与步骤网站审计要点
SDL2基础教程:旋转缩放与图像处理
SDL,`SDL_RenderCopy()` 是一个用于复制渲染目标纹理到屏幕的函数,它是对图像进行绘制的基本工具。然而,当涉及到更复杂的变换如旋转和缩放时,我们需要使用它的扩展版本 `SDL_RenderCopyEx()`。这个函数提供...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值