zhy7777-CSDN博客

原创综述如何开展代码审计

代码审计是一种对软件代码进行全面、系统的分析和检查，以发现其中可能存在的安全漏洞和代码缺陷的过程，软件安全问题已经成为了一个不可忽视的重要问题，而代码审计就是保证软件安全的重要手段之一。代码审计可以发现代码中存在的各种缺陷和问题，例如代码冗余、不规范的变量命名、代码结构不合理等，通过发现这些问题，可以帮助开发人员及时优化代码，提高代码的质量和可维护性。通过对应用程序进行代码审计，可以找出其中可能存在的安全漏洞和代码缺陷，及时修复这些漏洞和缺陷，从而降低应用程序的安全风险，保障用户的信息安全。

2023-04-15 18:27:47 755

原创 C/C++安全开发指南

一.C/C++功能介绍二、编译器三、缓冲区溢出 1.使用安全的函数 2.检查输入的长度 3.使用动态内存分配四、避免整数溢出五、空指针引用 1.对指针进行初始化 2.检查指针是否为空五、格式化字符串攻击 1.使用安全的函数 2.检查格式化字符串六.避免内存泄漏七.避免SQL注入攻击八.避免文件操作漏洞九.避免网络攻击十.使用静态分析工具十一、输入输出处理十二、异常处理十三、总结一.C/C

2023-04-14 15:54:37 682

原创对比DevSecOps的安全工具。

动态应用安全测试能够深入的研究软件的编码，在软件运行时，进行分析，测试加密算法，DAST有助于验证权限，检查跨站点脚本和SQL注入等常见的安全漏洞，它可以保证接口通道的稳定。当安全收到入侵时，安全部门和运营就会发出警报，xMatter将数据分流将警报的程度降低，各个部门同时处理，团队合理承担，不会触发更多的通知。这种安全工具是实力比较强的代码审计员，使用扫描工具检查容器的过程，能够将容器组件与漏洞进行比较，最终提交报告和分析。基于容器的软件的安全功能，例如角色的访问控制和在容器构建过程中的检查。

2023-03-18 22:51:08 138

原创结合JAVA、PHP和Python三种语言的特点，上网查阅资料，总结每种编程语言的安全编程规范。以WORD和思维导图的形式完成。

Java语言是一种面向对象的语言，与c语言不同面向过程，它能够将要运行的功能进行抽象化进行编译，面向对象三个特点即封装、继承、多态，通过封装可以使审计人员清晰的看出自己所需要检测的模块，同时可以把自己的数据和方法对对象进行操作，继承，能够使用现有类的功能，并且通过形成子类继承完成相关的功能，多态，通过覆盖和重载来实现，重载能够通过不同的参数表，重载相同的方法来完成不同的功能。

2023-03-18 22:50:58 159

原创简述DevSecOps 优势和最佳实践

DevSecOps是“开发、安全和运营”的缩写，与DevOps不同，DevOps只是特定人的责任，开发的团队到最后阶段才会进入，不能够做到开发与安全同时进行，耗费的资源可能会成倍，而DevSecOps是整个团队的共同责任，贯穿软件的整个声明周期，这样就能减少成本，开发、安全、运营三方互相沟通，改变能极大的保证软件的安全，在开发的同时也能提高开发人员的安全意识，提高开发的效率，每个流程和工作都能通过严格的检查，体现在速度和安全，加速安全漏洞的修补。DevSecOps的最佳实践。

2023-03-18 22:50:34 199

原创如何区分代码审计和软件测试？

软件测试是人工操作验证软件是否满足用户的需求，在软件设计初期的预期结果和最后产品最后的实际结果的差别，主要根据设计说明书找出代码中存在一些漏洞，进行改正，模拟用户使用的场景，实际上是一种比较过程，不具备代码编程能力。代码审计需要熟练市面上的各类编程语言如C/C++、Java、Python，要具有丰富编码的经验和对编码安全的原则性很强，深刻理解源代码的安全性，对编码不规范的地方，检查与分析，提供修改意见。

2023-03-18 22:48:38 171

原创查阅资料，采用思维导图的形式说明代码审计的好处和流程？

代码审计是对源代码的分析，发现安全漏洞和代码错误，代码是否符合安全规范的，能够更深层次的找到漏洞，黑客主要的攻击方向大多基于软件代码的问题，设计存在的缺陷，或者直接像系统攻击，代码审计能对源代码进行审查可以很好的避免外部的攻击问题，同时可以促进开发人员去改进，完善软件的功能，提高代码的规范性。

2023-03-18 22:47:32 41

原创阐述OWASP TOP10的演变过程

OWASP项目最具代表性的就是“十大安全漏洞列表”（OWASPTop10）,每四年更新一次，描述关于web应用的十大威胁安全报告，这个列表总结了Web应用程序最常见、最危险的十大漏洞，与bug不同，bug是指在功能性上有错误，有错误的代码，易被外部攻击，漏洞具体指到现实硬件和软件的问题，或者在设计软件时方法的错误，从根本上就有漏洞，bug可以说是漏洞的一种。到2017年将（4）和（7）合并为失效访问控制。A3 2004断开的身份验证和会话管理。（2）失效的身份认证和会话管理。A4：不安全的直接对象引用。

2023-03-18 22:45:11 404

原创如何划分软件安全威胁的分类？

数据，是程序运行的基础和对象，如果收到外部攻击在未授权的情况下，对数据进行篡改，干扰代码，修改代码片段，对系统的运行造成威胁，使数据流失或者泄露，让用户信息丧失，是威胁软件安全造成恶劣的后果，属于外界的攻击。我们可以根据这三种要素对软件安全威胁进行分类，程序，是完成特定功能的指令，当在软件的生命周期中，程序的设计、编码、运行的结果、用户的体验、安全的保证都是造成软件安全的威胁，是软件自身的安全。

2023-03-18 22:44:16 71

原创综述代码审计在软件安全中的重要性和意义

信息安全关乎国家经济安全和人民隐私安全，国家的信息战略都是对安全的极大要求，而现在任何的信息化进程都体现在软件的安全上，软件开发从开始之初就不允许有漏洞的发生方式，在软件开发的各个环节要尽量甚至绝对的防止漏洞的产生，百分之百的安全软件是不存在的，软件产品的漏洞是信息安全最关键的问题。同时代码审计能极大防止黑客入侵，对源代码的漏洞进行排除，保证软件信息的安全，类似对企业单位财政状况的审计，很大程度上杜绝了贪污，挪用公款的行径发生，所以代码审计的重要性可想而知，而代码审计的意义关乎每个人的安全。

2023-03-18 22:43:07 88

fakerbody的博客