自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(11)
  • 收藏
  • 关注

原创 为什么没有完美的程序分析工具

鸿渐提供了一套测试集,以代码分析的敏感度为基本维度,以CWE重要缺陷为基准,并将公开到我们的网站中,欢迎大家下载使用。最后我们承诺会努力做到更专业的测试,尽量穷尽所有的可能,不让用户总挑出明显的误漏报

2023-04-20 16:48:37 153

原创 ChatGPT在源代码分析中可靠吗?

鸿渐科技的代码分析技术正是结合了基于值依赖分析的符号逻辑分析技术和基于AI模式的自动模式生成技术以产生新的缺陷模式和函数摘要快速收集新的漏洞缺陷知识,同时也可以做到编译不通过情况下的片段代码分析,以达到更优的检测效果。

2023-04-06 15:40:15 4975

原创 敏感性在静态代码分析中的作用

做到所有维度的敏感,就可以做到无误漏报,但理论上这是不可能的,全部敏感的算法复杂度太高以致在有限的资源和时间内,无法完成,所以大部分工具选择折中的方案(例如某F工具选择在C/C++上不做路径敏感,某C工具不考虑全局变量导致缺陷)。,如流敏感性、路径敏感性、上下文敏感性、域敏感性和对象敏感性,能够根据当前代码的复杂度和机器当前的资源,采用智能化的方法自动进行分析敏感性折中,也就是对于结构简单程序采用高敏感分析,对于当前资源少的机器采用低敏感度的分析以保证效率和精度的最优平衡。让我们看看下面的代码。

2023-03-31 14:25:34 194

原创 SCA可达性分析基础知识普及

SCA可达性分析的意义在于,去掉引入但未使用的组件,同时降低无法触发漏洞的优先级,将注意力集中在实际影响代码的安全漏洞上,从而大幅提高SCA工具的可用性。

2022-12-28 15:03:56 611

原创 2022漏洞趋势报告及解决方案-新冠让程序员写bug变多了?

鸿渐SCA工具能够给出可利用的及可达的漏洞,甚至公开的可利用的漏洞以及漏洞可利用性评分

2022-11-23 17:40:43 1438

原创 浅谈境外黑客组织利用SonarQube漏洞攻击事件

随着软件产业的快速发展,现代软件大多数是被“组装”出来的,不是被“开发”出来的。各类信息系统的软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。如今软件供应链已经成为国内外对抗的焦点,直接影响关键基础设施和重要信息系统安全。一、近期某软件供应链安全事件及原因分析近期SonarQube软件供应链安全事件频发,充分揭露出软件开发使用第三方组件,带来了便利同时也带来了巨大的软件供应链安全风险,直接影响到各行业安全健康发展。在“无科技不软件”背景下,软件新

2021-11-25 15:21:39 6649

原创 天下没有免费的午餐,国产化替代迫在眉睫

天下没有免费的午餐,国产化替代迫在眉睫SonarQube[1]作为一款开源静态代码分析工具,在金融、互联网领域广泛应用,尽管其误漏报率和缺陷模式的更新,与商业工具相比具有一定差距,但其轻量级、与Devops快速集成、免费使用等特点受到了很多软件开发组织的青睐,仍然被很多用户选择其为研发安全的重要白盒检测工具。为了方便大家的使用,甚至很多安全公司,将其作为底层封装中文化后成为”自主可控”代码分析工具,以相对商业工具更加低廉的价格在国内市场销售,但开源工具一定是安全的吗?有免费的午餐吗?近日有媒体报道[

2021-10-29 13:51:02 256

原创 如何将SAST融入DevSecOps流程中?

如何将SAST融入DevSecOps流程中?**Part 1 背景**随着软件产业的迅猛发展,业务体系庞大、产品迭代迅速是许多互联网及软件公司的特点。使用传统的瀑布式开发无法满足用户的需求,由此敏捷开发(Agile Development)走进人们的视野。敏捷开发大幅提高了开发团队的工作效率和版本更新的速度,但却不利于运维工作的进行。为了让开发人员与运维人员更好地沟通合作,缩短系统开发生命周期,实现高质量的持续交付,开发团队逐步转向DevOps模式[1]。DevOps与敏捷软件开发相辅相成,使得团

2021-09-13 19:34:45 298

原创 无许可的开源软件可以使用吗?

背景中国第一个关涉GPL协议的诉讼案件,数字天堂(北京)网络技术有限公司起诉柚子(北京)科技有限公司侵犯计算机软件著作权纠纷一案中,原告数字天堂公司起诉柚子公司发布的APICloud软件抄袭了数字天堂公司HBuilder软件中的三个插件的源代码,侵犯其多项权利[1]。而柚子公司辩称,HBuilder软件属于应遵循GPL协议开放源代码的软件,应遵循开源,其构建衍生软件作品并不对数字天堂著作权造成侵犯。也就是说,使用GPL协议的软件为开源软件,基于GPL协议作品产生的衍生作品也要遵循GPL协议,开放源代码

2021-08-12 15:31:04 591

原创 重磅消息 | 鸿渐科技获“麒麟软件NeoCertify”认证

近日,鸿渐源代码静态分析工具软件V2.0.0(RedRocket-SAST V2.0.0)与银河麒麟桌面操作系统V10、银河麒麟高级服务器操作系统V10完成兼容性测试,获得其基于飞腾、鲲鹏等国产化CPU平台的NeoCertify认证证书。银河麒麟是由国防科技大学研制的开源服务器操作系统,目标是打破国外操作系统的垄断,研发一套中国自主知识产权的服务器操作系统。银河麒麟桌面操作系统V10是新一代面向桌面应用的图形化桌面操作系统,面向国产软硬件平台开展了大量优化的简单易用、稳定高效、安全创新的操作系统产品

2021-08-05 17:43:47 889

原创 软件质量指标自动度量方法

[1] Boehm, Barry W.; Philip N. Papaccio, “Understanding and Controlling Software Costs”, IEEE Transactions on Software Engineering, v. 14, no. 10, October 1988, pp. 1462-1477. [2] ISO, “Systems and software engineering – Systems and software Quality

2021-04-29 12:05:56 1152

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除