manok-CSDN博客

原创不管SDLC还是Devops，请把好安全质量门

微软自2004年就采用SDL（Security Development Lifecycle），即安全开发生命周期。后面很多安全企业提出S-SDLC（Secure Software Development Lifecycle）。这个概念也是被安全行业的公益组织OWASP所支持。安全中的SDLC就是指将原来集中在软件开发生命周期后期进行的工作，放到软件开发生命周期各个阶段去，在每个阶段做...

2020-03-13 17:45:39 7420

原创浅谈DevSecOps工具链中的源代码安全保障

近期，很多企业开始关注DevSecOps，下面根据作者对其理解，简单分析一下在DevSecOps的源代码安全该如何考虑和建设。主要分5部分：1、DevSecOps建设的背景和目的2、安全才是提升研发交付质量的第一要素3、安全自动化是安全交付的保障4、企业如何实施DevSecOps5、企业落实DevSecOps的动力正文：1 DevSecOps建设的背景和目的随着...

2020-02-11 18:08:16 2081

原创再借你一双慧眼识别强大的代码安全审计工具

今天，我还是分析一款强大的代码安全审计工具到底应该什么样？还是以OWASP Benchmark的Java案例作为例子进行分析。Benchmark中2740个包含真假漏洞的案例中，分为10类，例如SQL注入、命令行注入、弱密码、弱哈希等等。下面我以其中三个类别的真假漏洞作为例子，进行分析。先看SQL注入，我从其中选择了一个具有代表性的案例，BenchmarkTest00105.j...

2019-12-31 07:42:09 754

实训环境安装需安装JDK1.8并配置环境变量，解压graphviz包到指定路径。将cobot-checker工程文件夹拷贝至本地，由培训老师生成license文件并导入。在Eclipse中导入项目后，需修改配置文件cobot-preprocess.properties中的路径参数，并添加license文件路径。运行检测器时需检查testFile属性路径是否匹配，若无法输出结果需清除Run Configurations中的参数后重新运行。整个流程包含环境配置、文件导入、参数修改及检测执行等步骤。

2025-06-07 11:41:26 243

原创 CDT&JDT是开发SAST工具的有力引擎

CDT（Eclipse C/C++开发工具）能够在代码编译不通过的情况下生成抽象语法树(AST)，这一特性使其在代码分析和缺陷检测中具有独特优势。文章详细介绍了CDT的AST生成机制：通过预处理器处理指令，解析器构建AST，即使存在语法错误也会尝试生成包含错误节点的AST。文中提供了通过CDT Java API获取AST的示例代码，并展示了如何检查AST中的错误。此外，文章阐述了如何利用CDT AST编写代码检查器(Checker)，包括检测未使用变量、空指针解引用等常见问题。相比必须完整编译才能分析的Cl

2025-06-07 11:38:10 823

原创库博Cobot编译不通过也能精准分析的技术奥秘

北大软件库博Cobot静态分析工具突破传统检测限制，能在编译失败时仍进行有效分析。其基于CDT/JDT引擎，通过词法分析和语法解析生成AST，即使代码存在错误也能识别潜在缺陷。该工具支持多编译器自动匹配，特别适合非研发部门进行代码质量检测，解决了传统工具依赖完整编译环境的痛点，为软件开发提供了更灵活的质量保障方案。

2025-06-07 11:22:59 491

原创从 GitHub 批量下载项目各版本的方法

从github批量下载项目源代码

2025-03-09 15:31:18 1219

原创轩宇高效软件成分分析系统试用

试用轩宇信息的高效软件成分分析系统，感觉还是一个比较好的一款产品。

2025-03-09 14:26:49 1325

原创不可信的搜索路径（CWE-426）

GB 34944规则之一——不可信的搜索路径

2025-02-05 22:39:33 591

原创不可控的内存分配（CWE-789）

这是GB 34944中的第一个检测规则

2025-02-05 21:51:47 943

原创为什么库博（Cobot）能够得到客户的认可？

供应链安全，静态分析

2025-02-04 17:42:34 289

原创让你的AST工具支持代码片段级检测和修复

AST中的代码级安全漏洞分析

2025-02-03 22:28:50 468

原创第四类软件代码——AI 生成代码的安全风险与解决方案

AI大模型生成的代码安全正成为软件代码来源的第四类，那前三类是什么呢？自研代码、购买的代码、开源代码，那么AI生成的代码则是第四类。

2025-02-03 18:11:38 1048

翻译智能软件测试方法探究

本章根据汇总资料通过AI生成，仅供参考

2025-01-14 09:53:39 118

原创信息安全&软件安全课件

这些是与安全相关的课件

2025-01-04 15:08:44 209

原创 SCA降低安全漏洞误报方法之一

获取安全漏洞的代码特征信息是有效降低SCA误报，提升检测精度的方式之一。

2024-12-30 15:09:50 864

原创漏洞数据的理解

都漏洞影响版本和修复版本的理解

2024-12-29 11:59:26 263

原创 SAST静态应用安全测试常见的编码规则

这是常见的SAST支持的编码规则

2024-12-18 21:16:01 717

原创 GJB 8114 建议规则

这是国军标8114的建议性规则

2024-12-15 20:06:10 1227

原创 17961-致命级别检测规则

这是17961标准中级别最高的检测规则

2024-12-15 19:39:42 624

原创 OWASP和CWE对应关系

OWASP与CWE的对应关系

2024-12-15 17:35:58 476

原创 cobot的静态指标度量属性

Cobot的静态指标度量属性

2024-12-15 17:25:16 241

原创 Coverity部分C/C plus检测规则

这是Coverity部分C、C++检测规则

2024-12-15 17:05:30 519

原创 Coverit静态指标度量属性

这是Coverity支持的静态指标度量属性，不算多，主要是常见的几个。

2024-12-15 16:59:18 198

原创 QAC静态指标度量属性

这是SAST工具，严格说不算真正意义上的静态应用安全测试工具，但是它可以检测很多的静态指标。

2024-12-15 16:56:25 508

原创国内外常见的SAST工具支持的检测集

这是国内外SAST常见工具支持的检测规则集合

2024-12-15 16:46:49 424

原创 Coverity支持的检测集

Coverity支持的检测规则集合

2024-12-15 16:40:49 302

原创 FindSecBus的检测规则

很多SAST工具集成了FindSecBugs，这里是一些主要的检测规则。

2024-12-15 16:37:26 365

原创（SAST检测规则-10）侧信道数据泄露/意外数据泄露

SAST检测规则系列

2024-12-12 21:11:14 781

原创（SAST检测规则-9）不正确的锁

SAST检测规则系列

2024-12-12 20:59:29 1105

原创（SAST检测规则-8）连接字符串中的硬编码密码

SAST检测规则系列

2024-12-12 20:54:27 823

原创（SAST检测规则-7）关键状态数据的外部控制漏洞 (External Control of Critical State Data)

SAST检测规则系列

2024-12-02 21:06:46 822

原创（SAST检测规则-6）数据库参数篡改漏洞 (SQL Injection - Database Parameter Tampering)

sast检测规则系列

2024-12-02 21:04:02 1205

原创 (SAST 检测规-5)不良授权和身份验证

SAST检测规则系列

2024-12-01 11:06:19 1209

原创（SAST检测规则-4）危险文件包含漏洞 (File Inclusion)

这是SAST检测规则

2024-12-01 10:45:39 1180

原创（SAST检测规则-3）固定的 SessionID 缺陷详解

SAST检测规则序列之三

2024-11-30 19:37:04 1210

原创（SAST检测规则-2）污染数据用于循环控制条件

SAST检测规则序列

2024-11-30 19:13:17 788

原创（SAST检测规则-1）Android - 权限管理漏洞

这是一条SAST静态分析规则

2024-11-27 22:04:40 667

原创开放原子开源基金会网站上的开源项目EasyBaaS存在内存泄露缺陷

开放原子开源基金会网站上的开源项目EasyBaaS存在内存泄露缺陷。

2024-09-25 21:53:24 602

原创开放原子开源基金会网站上的开源项目Opns存在缓冲区溢出缺陷

开放原子开源基金会网站上的开源项目Opns存在缓冲区溢出缺陷，本文列举了一处，实际上存在多处缺陷，该项目具有风险。

2024-09-25 21:51:39 671

2023年12月初，新思科技发布了BSIMM 14 从报告上来看，我们能够清晰的看到2023年在软件安全领域发生的变化

2023年12月初，新思科技发布了BSIMM 14。从报告上来看，我们能够清晰的看到2023年在软件安全领域发生的变化。这个资源是翻译的全部资料，需要的请下载。

2023-12-19

保障软件供应链安全《SBOM推荐实践指南》2023年11月发布译文

2023年11底，美国ODN、NSA CCC、CISA、CSCC等多个政府机构部门联合发布了《保障软件供应链安全：SBOM推荐实践指南》，《SBOM推荐实践指南》主要由ESF（Enduring Security Framework长久安全框架）小组编撰，该文件根据行业内对于SBOM的最佳实践和原则提供了非常具有建议性的指导意见，并且鼓励软件开发商和供应商共同参考，以维护和提升对软件供应链安全的认识。

2023-12-18

Gartner 2023年7月份发布了安全运营Hype Cycle，这些资料对安全运营做了前瞻性的分析有时间可以读读

Gartner 2023年7月份发布了安全运营Hype Cycle，这些资料对安全运营做了前瞻性的分析。有时间可以读读。

2023-12-01

安全产品开发，经常需要整理OWASP TOP 10与CWE的映射关系，这个文件是OWASP TOP 2021与CWE的映射关系

不管是做网络安全产品研发，还是应用安全产品开发，经常需要整理OWASP TOP 10与CWE的映射关系，这个文件是OWASP TOP 2021与CWE的映射关系，花费很长时间梳理的这张映射表啊，而OWASP TOP10 从2021年发布中，开始包括了与CWEDE 映射关系，但是给出的只是一些具有代表性的CWE编号。这张表很全。

2023-11-26

是Synopsys也就是新思的检测器，开发SAST工具的朋友都知道的

这是宝贵资源，请且下载且珍惜

2023-10-01

汽车领域的C/C++编码规范

汽车领域的C/C++编码规范，越来越多的汽车生产企业遵守该规范

2023-09-28

静态分析资料汇总和学习笔记

这个笔记是我从事SAST、SCA等软件应用安全领域工作多年整理的资料，包括有博士的，有南京大学的，有自己百度后整理的资料，对于从事静态分析的研发人员，测试人员，售前和售后人员都有很大裨益。主要SAST相关资料。

2023-03-09

静态分析工具对比,包括了常见静态分析工具

包括了Testbed、C++ test、Fortify、Klocwork、Coverity、Checkmarx、SonarQube、代码卫士、Cobot。对比项包括了厂家名称、所属国家、安装OS、检测引擎、架构、跨文件分析能力、检测器类型支持、规则定制支持能力、静态度量、运行缺陷检测能力、安全漏洞检测能力、支持的检测语言、误报率、漏报率、检测效率、检测报告、接口、二次开发SDK、是否支持CI/CD等等。

2022-06-25

COBOT与Jenkins集成的详细资料

cobot与Jenkins集成的材料，介绍的非常详细，欢迎查看。

2022-06-25

静态检测工具对比表-F&CO&COV.xlsx

对Fortify SCA、Covertity、CodeSec三款静态分析工具进行对比的文件。包括误报率、漏报率、检测效率、对第三方组件检测支持能力、支持CI能力、编译环境等

2022-06-25

不同企业，SDL差异几何——不同企业的SDL建设Roadmap分析4.10.pdf

不同企业的SDL建设Roadmap分析

2022-06-20

静态源代码安全检测工具比较.pdf

对Fortify SCA、Checkmarx、CodeSecure 三款工具进行对比。

2022-06-20

COBOT和其他工具对比.pdf

这是2021年Cobot与其它工具的对比资料

2022-06-20

Static Program Analysis，静态程序分析

Anders Møller and Michael I. Schwartzbach February 10, 2022 这是最新的程序分析技术资料，2022年的。

2022-06-19

Mitigating the Risk of Software Vulnerabilities by Adopting

Mitigating the Risk of Software Vulnerabilities by Adopting a Secure Software Development Framework (SSDF)。 Donna Dodson Applied Cybersecurity Division Information Technology Laboratory Murugiah Souppaya Computer Security Division Information Technology Laboratory Karen Scarfone Scarfone Cybersecurity Clifton, VA April 23, 2020

2022-06-19

静态程序分析（七）:过程间分析

一、为什么需要过程间分析前面的数据流分析学习中，我们接触到的都是过程内 intraprocedural 的分析，在过程内分析遇到函数调用如何处理的呢？在过程内分析的情况下，对函数调用的通常的做法是：对方法的调用做最保守的估计，认为方法调用可以做任何事情，以确保安全近似，举例如下：对于常量传播的例子来说，如下程序片段：过程内分析不对函数调用进行处理，在 foo()中对函数 bar()时，静态分析认为 bar()函数输入的参数是任何值，所以 x = NAC，y=NAC，foo 函数中调用 bar 后的返回值也认为是任何值，所以 n = NAC。而实际的运行情况来看，n 的值是 10，x 就是 42，y 就是 43。过程内分析丢失了精度。为提高分析的精度，就需要进行过程间的分析，数据流通过过程间的控制流边进行传递，如下图所示：

2022-06-19

静态程序分析（五、六）:数据流分析基础理论

一、迭代算法 Iterative Algorithm Data Flow Analysis Foundations，数据流分析基础理论。掌握数据流分析基础理论，才能自如的设计数据流分析算法来解决特定的静态分析问题。下图是一个通用的数据流分析迭代算法，采用前向数据流，它用来得到一个数据流问题的解给定一个含有 k 个节点的程序 CFG，迭代算法每次迭代时更新每个 CFG 节点的输出信息，即 OUT[n]。假设数据流分析中数据 data facts 的集合是 V，这里的数据是指我们分析问题的数据，数据的 domain 就是这些数据抽象值的域。比如，我们在分析到达定值这个具体数据流问题时，V 就是程序所有变量的集合，domain 就是程序中所有的变量可能取得的抽象值的集合{0,1}。再如，常量传播例子中，分析的数据 data facts 集合 V 就是程序中所有的变量，v 的 domain 就是{未定义、不是常量、0、1、2、1.2、...} ，这个 domain 就是无穷的，因为作为常量可是任何数。在到达定值中，我们用一个 bit vector 来表示节点的输出数据作为

2022-06-19

CppCheck扫描规则

这是CppCheck工具的检测规则，中英文。

2022-06-19

2004&2007&2010&2013&2017 OWASP TOP 10.rar

压缩包中包括OWASP top10 从2004年、2007年、2010年、2013年和2017年5次发布的OWASP top 10，是研究网络安全的好材料。

2020-04-12

为中兴提供的漏洞检测技术

2025-04-26

非常好的代码漏洞检测技术-给华为提供的方案

2025-04-26

这是Coverity的离线帮助资料

2025-04-13

Coverity 的检测器规则，checker中英文版本的

2025-04-13

Coverity的检测器，checker，英文

2025-04-13

Coverity 的检测器规则，checker，英文版本的

2025-04-13

国内某个SAST工具的所病checker，请珍惜

2025-04-13

软件测试Coverity问题汇总数据分析：Hierarchies设置与Issue影响视图配置指南

内容概要：本文档主要介绍了如何利用Coverity工具查看和分析问题汇总数据。首先详细讲解了Hierarchies的创建流程，包括配置、添加Hierarchy以及向节点添加项目的方法。接着阐述了HIERARCHIES设置的相关操作，如切换视图、查看不同影响程度的问题分布（特别是高影响问题），并介绍了如何以表格形式查看Impact分布。最后说明了用户自定义视图的功能，包括添加和编辑item以定制化显示统计内容，帮助用户根据自身需求灵活调整查看的数据类型和范围。; 适合人群：软件开发工程师、测试工程师以及项目经理等关注代码质量和静态分析结果的专业人士。; 使用场景及目标：①在代码审查阶段，快速定位和评估代码中的潜在风险；②对Coverity扫描结果进行深入分析，以便制定针对性的修复计划；③团队协作时，为不同角色提供个性化的数据分析视角。; 其他说明：文档提供了详细的步骤指导和截图示例，确保用户能够轻松上手并有效运用Coverity工具进行问题汇总数据的查看与分析。

2025-04-13

### 【软件质量检测】Coverity快速入门手册：安装配置与使用指南

内容概要：本文档《Coverity快速入门手册》旨在为初学者提供Coverity产品的基本功能介绍，涵盖安装配置管理、管理员指南、开发人员指南、报告生成以及常见问题解答（FAQ）。手册详细介绍了Coverity Analysis和Coverity Platform的安装步骤、硬件和软件要求、许可证配置、构建分析流程，以及如何通过图形界面和命令行方式进行操作。此外，还提供了如何在Coverity Connect平台上管理和查看代码缺陷、设置权限、生成各类报告的具体指导。适合人群：适合具备一定编程基础和技术背景的开发人员、测试人员以及系统管理员，特别是那些需要对代码质量和安全性进行静态分析的团队成员。使用场景及目标：①为开发人员和测试人员提供静态代码分析工具的安装和配置指导；②帮助管理员设置和管理Coverity Connect平台，包括用户权限、模块映射和自动化邮件通知等功能；③协助团队生成和解读各种代码质量与安全报告，如质量安全报告、MISRA/CERT报告、OWASP Web Top 10报告等；④解决用户在使用Coverity过程中遇到的常见问题。其他说明：此手册仅限于Coverity的基本功能介绍，对于更深入的功能和高级配置，请参考官方提供的详细文档。在使用过程中，建议结合实际需求进行实践操作，并根据具体情况调整配置。

2025-04-13

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

2023年12月初，新思科技发布了BSIMM 14 从报告上来看，我们能够清晰的看到2023年在软件安全领域发生的变化

保障软件供应链安全《SBOM推荐实践指南》2023年11月发布译文

Gartner 2023年7月份发布了安全运营Hype Cycle，这些资料对安全运营做了前瞻性的分析 有时间可以读读

安全产品开发，经常需要整理OWASP TOP 10与CWE的映射关系，这个文件是OWASP TOP 2021与CWE的映射关系

是Synopsys也就是新思的检测器，开发SAST工具的朋友都知道的

汽车领域的C/C++编码规范

静态分析资料汇总和学习笔记

静态分析工具对比,包括了常见静态分析工具

COBOT与Jenkins集成的详细资料

静态检测工具对比表-F&CO&COV.xlsx

不同企业，SDL差异几何——不同企业的SDL建设Roadmap分析4.10.pdf

静态源代码安全检测工具比较.pdf

COBOT和其他工具对比.pdf

Static Program Analysis，静态程序分析

Mitigating the Risk of Software Vulnerabilities by Adopting

静态程序分析（七）:过程间分析

静态程序分析（五、六）:数据流分析基础理论

CppCheck扫描规则

2004&2007&2010&2013&2017 OWASP TOP 10.rar

为中兴提供的漏洞检测技术

非常好的代码漏洞检测技术-给华为提供的方案

这是Coverity的离线帮助资料

Coverity 的检测器规则，checker中英文版本的

Coverity的检测器，checker，英文

Coverity 的检测器规则，checker，英文版本的

国内某个SAST工具的所病checker，请珍惜

软件测试Coverity问题汇总数据分析：Hierarchies设置与Issue影响视图配置指南

### 【软件质量检测】Coverity快速入门手册：安装配置与使用指南

GIB 8114的规则，检测器，checker

国内某著名的SAST工具的检测器规则，Checker，java语言的

国内某SAST工具的检测器规则，Checker

国内某sast产品的checker，检测规则

FIndSecBugs、Findbugs、infer、PMD 4个免费的SAST工具中的Java Checker

MISRA C 2012规则

coverity 静态分析的C、C++和Java规则

AUTOSARC ++14规则材料

AI的发展，2024年你的业务在哪里

空空如也

Gartner 2023年7月份发布了安全运营Hype Cycle，这些资料对安全运营做了前瞻性的分析有时间可以读读