- 博客(675)
- 资源 (20)
- 收藏
- 关注
RSS订阅
原创 不管SDLC还是Devops,请把好安全质量门
微软自2004年就采用SDL(Security Development Lifecycle),即安全开发生命周期。后面很多安全企业提出S-SDLC(Secure Software Development Lifecycle)。这个概念也是被安全行业的公益组织OWASP所支持。安全中的SDLC就是指将原来集中在软件开发生命周期后期进行的工作,放到软件开发生命周期各个阶段去,在每个阶段做...
2020-03-13 17:45:39
7672
原创 浅谈DevSecOps工具链中的源代码安全保障
近期,很多企业开始关注DevSecOps,下面根据作者对其理解,简单分析一下在DevSecOps的源代码安全该如何考虑和建设。主要分5部分:1、DevSecOps建设的背景和目的2、安全才是提升研发交付质量的第一要素3、安全自动化是安全交付的保障4、企业如何实施DevSecOps5、企业落实DevSecOps的动力正文:1 DevSecOps建设的背景和目的随着...
2020-02-11 18:08:16
2297
原创 再借你一双慧眼 识别强大的代码安全审计工具
今天,我还是分析一款强大的代码安全审计工具到底应该什么样?还是以OWASP Benchmark的Java案例作为例子进行分析。Benchmark中2740个包含真假漏洞的案例中,分为10类,例如SQL注入、命令行注入、弱密码、弱哈希等等。下面我以其中三个类别的真假漏洞作为例子,进行分析。先看SQL注入,我从其中选择了一个具有代表性的案例,BenchmarkTest00105.j...
2019-12-31 07:42:09
949
原创 SAST 静态代码分析平台命令行接口介绍(终结篇)
该报告展示了软件工厂生成的定制化分析内容,包含7个模块:扫描覆盖与项目分布、漏洞总览与红黑榜、语言统计与修复趋势、合规性分析、人员缺陷与版本质量趋势、FPGA项目对比分析以及项目明细。特别说明所有图表数据均为虚构,仅用于演示展示用途。报告可根据客户需求进行个性化定制。
2026-05-13 21:36:07
302
原创 SAST静态分析两大底层引擎技术路线对比:源码解析 vs 编译产物分析
SAST静态应用安全测试工具主要分为两种技术路线:基于源代码原生解析和基于编译后产物分析。前者直接分析源码,具备强容错性和工程适配性,适合快速扫描;后者依赖完整编译环境,提供精准语义信息,适合高阶漏洞检测。两类工具在环境依赖、分析精度、性能成本等方面存在显著差异,但边界正逐渐模糊,混合架构成为主流趋势。当前行业正朝着多引擎集成、AI赋能、语义深化等方向发展,以实现全覆盖与高精度的统一。
2026-05-13 21:11:22
547
原创 SAST 静态代码分析平台命令行接口介绍(下半部分)
摘要:该文档介绍了项目安全检测工具的功能,包括查看项目状态、检测日志和缺陷结果。系统支持JSON格式输出,并提供了质量门禁设置功能,可自定义致命、严重缺陷及总数阈值。工具可集成到CI流程中,支持导出Word、Excel和HTML格式报告,其中HTML报告包含丰富的图表展示。后续将补充软件工厂参数功能。
2026-05-11 23:29:10
254
原创 SAST 静态代码分析平台命令行接口介绍(上半部分)
SAST静态代码分析平台提供命令行工具,支持自动化代码安全检测流程。主要功能包括:用户登录、License管理、规则包查询、检测配置创建、项目管理(支持文件/Git/SVN导入)、检测触发与状态监控、缺陷查看、报告导出和安全门禁检查。该工具适用于CI/CD集成、批量处理和自动化测试场景,可通过JSON格式输出结果。典型使用流程为:登录→创建检测配置→导入项目→触发检测→查看结果→导出报告,所有操作均可通过命令行完成,无需浏览器交互。
2026-05-10 22:30:27
663
原创 华为鲲鹏 920 CentOS7 无法启动完整修复实录
摘要:本文记录了华为TaiShan200服务器因根分区空间不足导致系统崩溃的完整修复过程。故障源于错误地将/var目录移动到/home并创建软链接,导致系统启动时无法访问关键目录。通过U盘启动银河麒麟Live系统,激活LVM卷组后挂载原系统分区,成功将/var目录移回根分区并修复系统。文章详细介绍了鲲鹏服务器特有的BIOS启动项设置、iBMC远程管理限制,并提供了根分区空间不足的安全解决方案——绑定挂载(bind mount)。最后总结了ARM架构服务器运维的注意事项,包括LVM修复流程和关键目录处理规范。
2026-05-09 23:20:27
526
原创 库博-全部覆盖C、C++语言国内外标准
北大库博静态分析工具实现C语言代码安全检测新突破:1)全标准全条款覆盖,支持GB/T、GJB、MISRA等国内外30+标准;2)检测精准度行业领先,误报率、漏报率双低于10%;3)深度语义分析技术,有效处理C语言复杂语法场景;4)支持百万行级代码批量检测,无缝集成CI/CD流程。该工具已广泛应用于金融、军工、航天等高安全要求领域,显著提升代码合规效率与质量。
2026-03-31 21:42:27
442
原创 GB/T 28452-2012 三级应用系统测评
本文是关于《GB/T28452-2012三级应用系统测评》培训的调研问卷,包含单项选择题、多项选择题和简答题三部分,总分100分。内容涵盖应用系统安全测评的核心知识点,包括安全子系统功能、身份鉴别、访问控制、数据保护、安全审计等要求。问卷重点考察对GB/T28452-2012标准的理解,特别是三级系统的特殊安全要求,如多因素认证、强制访问控制等。简答题部分要求阐述标准关系、测评方法、漏洞描述等实操内容。该问卷可作为测评人员能力评估和培训效果检验的工具。
2026-03-16 21:12:18
415
原创 赋能信创发展 二进制文件分析工具重磅升级,自主可控测评能力全新上线
摘要:为响应信创工程对软件自主可控的严格要求,某二进制文件分析工具升级新增自主可控测评功能。该功能通过深度解析各类二进制文件,精准识别开源组件和依赖关系,量化评估代码自主率与国产组件占比,并生成标准化测评报告。其三大亮点包括:全维度成分解析、量化自主可控水平、多场景适配性。该工具采用全栈自研技术,摆脱国外依赖,助力企业提升软件自主化水平,为信创产业发展提供安全可靠的技术支持。(149字)
2026-03-16 11:08:30
298
原创 库博(CoBOT)vs 主流SAST工具:嵌入式高安全领域的差异化优势全景解析
库博(CoBOT)作为国产静态应用安全测试(SAST)工具标杆,在技术架构、检测能力、行业适配等方面展现显著优势。其自主研发的"值依赖分析引擎"实现语义级缺陷检测,支持"编译通过+编译不通过"双模架构,显著提升嵌入式等高安全场景的检测覆盖率。相比传统工具,库博具备更全面的缺陷与漏洞检测体系,覆盖军工、汽车电子等行业标准,并实现100%自主可控。通过AI赋能和全流程集成能力,库博将误报率降至5%以下,修复效率提升80%,成为高安全领域软件质量保障的战略级伙伴。
2026-01-17 21:27:39
1364
原创 库博(CoBOT):嵌入式 C/C++ 代码质量的全流程守护者 —— 从合规校验到漏洞根绝的国产化解决方案
库博(CoBOT)是一款国产嵌入式C/C++静态代码分析工具,专为解决军工、汽车电子等领域的高安全需求开发。其核心优势包括:1)全面支持GJB、MISRA等军用/行业标准,实现自动化合规检测;2)采用自主研发的分析引擎,精准识别110+种语义缺陷和90+种安全漏洞;3)适配ARM、DSP等多种嵌入式架构,支持离线部署和低资源运行。该工具已成功应用于航天、汽车等行业,显著提升代码质量,降低缺陷修复成本,成为嵌入式开发领域国产化替代的重要选择。
2026-01-17 21:07:38
972
原创 突破编译障碍:库博(CoBOT)让嵌入式代码检测无死角
【嵌入式开发新突破:库博静态分析工具破解编译失败检测难题】针对嵌入式开发中40%以上代码初期无法编译的行业痛点,库博创新推出双模检测架构:既支持传统编译后语义分析,又能直接对未编译代码进行深度检测。该工具采用值依赖分析和抽象语法树技术,无需完整编译环境即可识别潜在缺陷,已成功应用于军工、汽车电子等领域,使检测覆盖率提升至95%+,缺陷发现节点提前至编码阶段。作为国内首个通过CWE认证的静态分析工具,库博特别适用于嵌入式系统、军工研发等对代码质量要求严苛的场景,实现真正的"零门槛"质量管控
2026-01-17 20:21:17
507
原创 探索研究:军用领域软件工厂建设核心路径——可信仓库与SBOM驱动的安全高效研发模式
本文聚焦军用领域软件工厂建设核心需求,探索可信软件仓库构建与军用软件SBOM体系建设的实践路径。研究表明,两者协同可筑牢军用软件供应链安全防线、支撑“搭积木”式研发模式落地;更可依托可信软件仓库沉淀的标准化组件资源训练AI模型,使新型号软件快速开发成为可能,为军用软件工业化、高效化转型提供关键支撑。
2026-01-07 13:49:23
1104
1
原创 致敬1024程序员节
程序员的坚守与微光 连续加班四天的程祥在烟雾与咖啡中挣扎,面对客户数据丢失的危机,他带领团队日夜奋战。35岁的程序员老袁在接到裁员通知后,依然专注解决技术难题。当"调试通过"的提示亮起,他们眼中闪烁的不仅是解决问题的喜悦,更是对职业本质的坚守。在程序员节前夕,这群人在代码行间守护着最后的微光,用技术人的方式诠释着无声的尊严。他们或许终将面对35岁的职业门槛,但此刻仍在键盘声中传递着对技术的纯粹热爱。
2025-10-22 22:06:31
1015
原创 重塑SCA核心能力,让软件资产复用更高效、变更风险更可控
摘要:克隆技术赋能SCA产品突破传统功能边界,通过精准识别代码相似性,解决企业软件资产复用低效("找不着、用不对、管不好")和变更失控("影响范围未知、漏洞难溯源")两大核心痛点。在复用场景中,实现资产精准定位、兼容性预判和量化管理;在变更场景中,提供影响范围圈定、漏洞溯源和资产库自动同步能力。该技术使SCA从单纯的安全工具升级为"智能资产管家",推动企业软件管理从被动应对转向主动管控,实现效率、安全与资产价值的协同提升。
2025-09-09 10:55:18
750
原创 相对路径遍历(CWE-22)
摘要:相对路径遍历漏洞(CWE-22)是应用程序未严格校验用户输入路径,导致攻击者可通过"../"等字符突破目录限制的高危漏洞。该漏洞可能导致信息泄露、恶意代码执行和系统破坏,违反等保三级要求中的输入验证、最小权限等条款。修复建议包括:输入验证(白名单+长度限制)、使用绝对路径规范化校验、权限最小化、定期安全测试等。文中提供了不安全代码示例和两个规范实现方案,强调路径边界校验和规范化处理的重要性,符合GB/T34944-2017等保要求。(148字)
2025-07-27 21:54:16
1517
原创 老白茶:不止是茶,更是时光沉淀的生活智慧
摘要:老白茶的时光馈赠 老白茶以岁月为笔,在自然陈化中沉淀出独特风味与养生价值。从新茶的清雅到老茶的醇厚,其茶汤色泽由浅黄转为琥珀,香气由枣香药香转化为蜜甜回甘。现代研究发现陈化后的老白茶富含黄酮类物质,具有抗氧化功效,且茶性温和不伤胃。作为"可以喝的古董",老白茶在适宜储存条件下风味与价值持续提升,既是养生佳饮,更承载着"岁月沉香"的生活哲学。无论是玻璃杯清饮还是搭配陈皮煮饮,都能让人在茶汤中感受时光的深情与生命的从容。
2025-07-26 23:02:01
948
原创 基于库博Cobot进行二次规则开发实训
实训环境安装需安装JDK1.8并配置环境变量,解压graphviz包到指定路径。将cobot-checker工程文件夹拷贝至本地,由培训老师生成license文件并导入。在Eclipse中导入项目后,需修改配置文件cobot-preprocess.properties中的路径参数,并添加license文件路径。运行检测器时需检查testFile属性路径是否匹配,若无法输出结果需清除Run Configurations中的参数后重新运行。整个流程包含环境配置、文件导入、参数修改及检测执行等步骤。
2025-06-07 11:41:26
519
原创 CDT&JDT是开发SAST工具的有力引擎
CDT(Eclipse C/C++开发工具)能够在代码编译不通过的情况下生成抽象语法树(AST),这一特性使其在代码分析和缺陷检测中具有独特优势。文章详细介绍了CDT的AST生成机制:通过预处理器处理指令,解析器构建AST,即使存在语法错误也会尝试生成包含错误节点的AST。文中提供了通过CDT Java API获取AST的示例代码,并展示了如何检查AST中的错误。此外,文章阐述了如何利用CDT AST编写代码检查器(Checker),包括检测未使用变量、空指针解引用等常见问题。相比必须完整编译才能分析的Cl
2025-06-07 11:38:10
1042
原创 库博Cobot编译不通过也能精准分析的技术奥秘
北大软件库博Cobot静态分析工具突破传统检测限制,能在编译失败时仍进行有效分析。其基于CDT/JDT引擎,通过词法分析和语法解析生成AST,即使代码存在错误也能识别潜在缺陷。该工具支持多编译器自动匹配,特别适合非研发部门进行代码质量检测,解决了传统工具依赖完整编译环境的痛点,为软件开发提供了更灵活的质量保障方案。
2025-06-07 11:22:59
843
原创 第四类软件代码——AI 生成代码的安全风险与解决方案
AI大模型生成的代码安全正成为软件代码来源的第四类,那前三类是什么呢? 自研代码、购买的代码、开源代码,那么AI生成的代码则是第四类。
2025-02-03 18:11:38
1717
2023年12月初,新思科技发布了BSIMM 14 从报告上来看,我们能够清晰的看到2023年在软件安全领域发生的变化
2023-12-19
保障软件供应链安全《SBOM推荐实践指南》2023年11月发布译文
2023-12-18
Gartner 2023年7月份发布了安全运营Hype Cycle,这些资料对安全运营做了前瞻性的分析 有时间可以读读
2023-12-01
安全产品开发,经常需要整理OWASP TOP 10与CWE的映射关系,这个文件是OWASP TOP 2021与CWE的映射关系
2023-11-26
静态分析资料汇总和学习笔记
2023-03-09
静态分析工具对比,包括了常见静态分析工具
2022-06-25
静态检测工具对比表-F&CO&COV.xlsx
2022-06-25
Static Program Analysis,静态程序分析
2022-06-19
Mitigating the Risk of Software Vulnerabilities by Adopting
2022-06-19
静态程序分析(七):过程间分析
2022-06-19
静态程序分析(五、六):数据流分析基础理论
2022-06-19
2004&2007&2010&2013&2017 OWASP TOP 10.rar
2020-04-12
软件测试Coverity问题汇总数据分析:Hierarchies设置与Issue影响视图配置指南
2025-04-13
### 【软件质量检测】Coverity快速入门手册:安装配置与使用指南
2025-04-13
FIndSecBugs、Findbugs、infer、PMD 4个免费的SAST工具中的Java Checker
2025-04-13
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人