- 博客(623)
- 资源 (20)
- 收藏
- 关注
RSS订阅
原创 不管SDLC还是Devops,请把好安全质量门
微软自2004年就采用SDL(Security Development Lifecycle),即安全开发生命周期。后面很多安全企业提出S-SDLC(Secure Software Development Lifecycle)。这个概念也是被安全行业的公益组织OWASP所支持。安全中的SDLC就是指将原来集中在软件开发生命周期后期进行的工作,放到软件开发生命周期各个阶段去,在每个阶段做...
2020-03-13 17:45:39
7340
原创 浅谈DevSecOps工具链中的源代码安全保障
近期,很多企业开始关注DevSecOps,下面根据作者对其理解,简单分析一下在DevSecOps的源代码安全该如何考虑和建设。主要分5部分:1、DevSecOps建设的背景和目的2、安全才是提升研发交付质量的第一要素3、安全自动化是安全交付的保障4、企业如何实施DevSecOps5、企业落实DevSecOps的动力正文:1 DevSecOps建设的背景和目的随着...
2020-02-11 18:08:16
1978
原创 再借你一双慧眼 识别强大的代码安全审计工具
今天,我还是分析一款强大的代码安全审计工具到底应该什么样?还是以OWASP Benchmark的Java案例作为例子进行分析。Benchmark中2740个包含真假漏洞的案例中,分为10类,例如SQL注入、命令行注入、弱密码、弱哈希等等。下面我以其中三个类别的真假漏洞作为例子,进行分析。先看SQL注入,我从其中选择了一个具有代表性的案例,BenchmarkTest00105.j...
2019-12-31 07:42:09
658
原创 开放原子开源基金会网站上的开源项目Opns存在缓冲区溢出缺陷
开放原子开源基金会网站上的开源项目Opns存在缓冲区溢出缺陷,本文列举了一处,实际上存在多处缺陷,该项目具有风险。
2024-09-25 21:51:39
574
原创 相似哈希技术在溯源分析中的应用
通过对项目中的代码片段生成相似哈希值,分析工具能够快速比对这些哈希值,识别出可能复用的代码或变体。在此基础上,可以进一步进行深度分析,例如文件级或代码片段级的详细比对,从而更准确地确定代码的来源和演变路径。这意味着即使代码片段经历了小幅度的修改,如变量名的更改或注释的增加,相似哈希仍然能够识别出这些片段之间的联系。在这种背景下,相似哈希技术(Simhash, Minhash等)成为溯源分析中的一项关键工具,能够高效识别和比较不同代码片段之间的相似性,帮助开发者和安全专家精确地追溯代码的起源。
2024-09-03 14:47:07
369
原创 克隆技术在代码溯源和复用及变更分析中的应用
克隆技术已在软件代码溯源分析领域得到广泛应用,而轩宇软件成分分析系统基于溯源分析和同源分析技术,通过先进的特征向量提取、相似性匹配、高效检索引擎等多项技术,帮助企业高效识别代码来源、评估自主可控率,并优化代码复用和变更情况。该系统具备强大的知识库支持,能够快速定位潜在安全漏洞和许可合规问题,为企业提供全面的软件成分管理和安全保障方案。
2024-08-30 16:22:44
1519
原创 2024年开工大吉,应用安全路在何方
2024年春节后,企业正式上班开工了。企业开始规划新的一年该如何运营了。走过了内卷的2023年,2024年企业该何去何从呢?应用安全行业有一个特点,企业基本上都是至少以一款产品为主,代理一些其它公司产品,为企业提供产品+服务形势。通过Gartner预测,2024年人工智能将会在安全行业得到比较深入的应用。那对我们应用安全行业有什么指导和借鉴作用呢?
2024-02-19 11:16:05
1111
原创 Gartner 2024年十大战略技术趋势解读
最近Gartner发布了2024年十大战略技术趋势报告,这十大技术趋势中有七项是关于AI技术及其技术应用相关,我们做一个简单解读。
2024-02-07 12:04:19
702
原创 大模型训练折戟之路
看了很多大模型平台,基本上这些平台都开源了模型建立过程,训练和微调数据等整个过程和脚本在github上描述的也比较详细,很多AI人员也分享了很多模型训练过程。经过多次比较选择,感觉还是LLaMA还是比较好,称为羊驼,国内在这个模型基础上,增强了中文能力,考虑到租用GPU成本问题,采用7B模型。
2024-01-19 12:37:20
1009
原创 试用清华Chatglm智能体
清华AI平台,感觉在见过的国内AI平台中做的是比较优秀的,目前该平台提供的智能体功能感觉更智能或者说更傻瓜式一些。定义可以定义专属智能体,这些智能体是自己想要的网络上的汇集处理后的信息,或者是绘画或者是编写某个方面的代码等等,简单理解是上述这样。在这个修改后的版本中,我使用了strcpy和memcpy来复制字符串和数据,并且在分配内存失败时进行了适当的错误处理。其回答是长文本,非常全面。我百度了一下,该安全漏洞检索信息非常少,因为智能体是从网络获取的搜索结果的聚合,应该是没有POC,也就是算零day漏洞。
2024-01-16 17:29:52
942
原创 借助AI进行代码审计
最近做代码审计,由于代码量较大,对于一些缺陷涉及到较长的代码片段或复杂的代码时,我会借助AI工具进行分析和确认,的确加快了代码审计的速度。
2024-01-16 16:07:10
1440
原创 使用AI平台处理训练和微调数据
Llama.cpp是Georgi Gerganov 基于 Meta 的 LLaMA 模型 手写的纯 C/C++ 版本,让我们实现了在笔记本电脑上部署和体验AI大模型,实现没有GPU也可以运行AI大模型。执行起来虽然比较慢,但是只能算做体验,还可以选择不同语言。某个模型使用体验不好时,还可以更换模型。同时也可以对于既有的模型合并后使用,处理能力更强。
2024-01-11 10:00:35
962
原创 喜闻蜚语获得数千万元Pre-A+轮融资
当朋友分享给我关于蜚语获得数千万元Pre-A+轮融资的消息时,我顿感这是对静态分析领域的一剂强心剂。尽管这次Pre-A+轮融资的金额并不算太多,但它标志着投资机构和市场对静态分析市场的持续看好。在这个大环境并不太乐观的时刻,这个消息给我们注入了新的希望。更为重要的是,这不仅仅是对静态分析市场的鼓舞,也为应用安全市场以及整个信息安全行业注入了一针强心剂。
2024-01-10 10:31:14
588
原创 AI数据微调找免费GPU遇阻之路
赶在如火如荼的2023 AI的尾声,开始研究AI,在了解了当前技术的发展以及试用了多个AI模型和平台之后,计划本地安装Llama.cpp,利用积累的威胁建模数据和检测规则数据进行数据微调,实现自动化威胁建模和AI静态分析。但是没有GPU,在笔记本电脑上缺少GPU,所以查了很多资料,缆车那个平台可以白嫖GPU。
2024-01-02 17:22:43
984
原创 几款AI工具代码安全漏洞分析能力对比
这段时间研究AI平台的能力。 今天我把库博检测工具发现的一个Java安全漏洞相关代码传到几款AI工具上进行分析,看看这几款工具反馈的结果。这些工具包括ChatGPT-3.5、Forefront Claude、AIChat(组合)和清华ChatGlm。
2023-12-21 12:13:59
2121
1
原创 使用ChatGLM分析文档试用
最近了解一下Chatgpt-4到底发展到什么程度了,于是对知名的国内外几个AI平台都进行了初步试用。写几篇文章介绍一下试用心得。今天我先总结一下智谱清言,也就是国内的ChatGLM,聊天功能感觉接近Chatgpt-3.5,而我重点使用其对文档的解析和实施训练能力。
2023-12-21 10:04:26
712
翻译 从BSIMM 14看应用安全的变化和趋势
2023年12月初,新思科技发布了BSIMM 14。从报告上来看,我们能够清晰的看到2023年在软件安全领域发生的变化。
2023-12-19 12:19:48
75
翻译 保障软件供应链安全《SBOM推荐实践指南》
2023年11底,美国ODN、NSA CCC、CISA、CSCC等多个政府机构部门联合发布了《保障软件供应链安全:SBOM推荐实践指南》,《SBOM推荐实践指南》主要由ESF(Enduring Security Framework长久安全框架)小组编撰,该文件根据行业内对于SBOM的最佳实践和原则提供了非常具有建议性的指导意见,并且鼓励软件开发商和供应商共同参考,以维护和提升对软件供应链安全的认识。
2023-12-18 13:11:23
520
原创 MISRA C++ 2023发布
MISRA C++ 2023于2023年11月份MISRA 发布了最新的标准升级版本,国外SAST工具厂商跟进速度非常快,国内SAST厂商还没有一家发布支持
2023-12-17 09:36:53
819
原创 数据采集方法
数据采集过程是数据流入数据中台的关键步骤,主要通过认证鉴权、关键数据源管控、采集数据传输安全、临时数据限制、日志记录和告警等多种措施来保障采安全性。
2023-12-15 23:09:19
1040
原创 供应链安全应该掌握哪些呢
整理了供应链安全相关的内容,涵盖了普及应用安全、信息安全意识的内容,这些内容可以面向企业全部员工进行讲解。后面包括了面向开发人员、测试人员、安全人员的内容,包括应用安全开发、供应链安全。面向架构人员的架构安全内容,后面又包括了威胁建模方法及流程。面向开发人员的安全设计、代码检测/审计、编码规范、运行时缺陷和安全漏洞等讲解。Java典型安全漏洞和应用业务逻辑漏洞实例讲解,后面包括了开源治理内容等等。
2023-12-14 11:31:57
1159
2023年12月初,新思科技发布了BSIMM 14 从报告上来看,我们能够清晰的看到2023年在软件安全领域发生的变化
2023-12-19
保障软件供应链安全《SBOM推荐实践指南》2023年11月发布译文
2023-12-18
Gartner 2023年7月份发布了安全运营Hype Cycle,这些资料对安全运营做了前瞻性的分析 有时间可以读读
2023-12-01
安全产品开发,经常需要整理OWASP TOP 10与CWE的映射关系,这个文件是OWASP TOP 2021与CWE的映射关系
2023-11-26
静态分析资料汇总和学习笔记
2023-03-09
静态检测工具对比表-F&CO&COV.xlsx
2022-06-25
静态分析工具对比,包括了常见静态分析工具
2022-06-25
静态程序分析(五、六):数据流分析基础理论
2022-06-19
静态程序分析(七):过程间分析
2022-06-19
Mitigating the Risk of Software Vulnerabilities by Adopting
2022-06-19
Static Program Analysis,静态程序分析
2022-06-19
2004&2007&2010&2013&2017 OWASP TOP 10.rar
2020-04-12
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人