manok的专栏

代码审计专家服务团队，除了提供网络、现场的源代码审计服务外，为了帮助企业建立代码安全审计平台、Devops/DevSecOps平台、代码扫描基线、安全和质量编码规范、制度流程，打通企业研发的各个管理环节，实现自动化等企业级源代码安全审计咨询服务。 企业要建立代码安全审计平台，实现高效的自动化代码安全审计，需要打通企业研发生命周期的各个环节，让自动化检测工具融入现有开发、测试环境，并真正被接受和充分利用，需要从工具选型、扫描基线、编码规范到制度流程等各个环节进行评估和设计。包括但不限...

2020年初的疫情危机前面，党中央和国务院审时度势、果断应对、科学防控，以巨大的制度优势和战略自信带领全国人民取得了疫情阻击战的阶段性胜利，病毒仍然在世界范围内迅速蔓延，世界各国经济发展遇到了挑战。恢复经济的着力点在哪里，成为政府和各界热议的话题。3月4日，中央政治局常务委员会会议强调，加快推进国家规划已明确的重大工程和基础设施建设，加快5G网络、数据中心等新型基础设施建设进度，再次...

在软件代码安全领域，是上周以色列Checkmarx公司被私募股权公司以惊人的11.5亿美元注资收购。Checkmarx公司是应用程序安全测试方案的全球领导者，一直专注于软件静态分析工具研发，其核心产品Checkmarx在全球享有非常高的知名度，具有大量用户。在静态分析工具领域，2019年是一次比较大的收购是GitHub收购Semmle公司，官方没有公布收购价格，但是Semm...

随着开源技术在云计算、大数据、AI领域的不断运用，不断破除技术壁垒，让企业快速建立自身的应用，在开源软件基础一，自主研发部分代码，便可以推出企业自身品牌的产品，开源技术的应用极大的推动了云计算、大数据、AI等领域的快速发展。但是开源软件的引用不可避免的带来了知识产权、信息安全等方面问题。根据Gartner统计，98%的企业管理者并不知道自己研发产品里的成分、...

由第一计算平面迁移到第二计算平面，也就是由原来的X86架构迁移到ARM架构，必将成为中国IT行业发展历史上的重要里程碑。当性能和安全摆在企业面前，让我们选择时，安全当然是被放在第一的位置。但是ARM架构处理器的性能本身还是非常优秀，最早ARM架构的处理器多由于军工领域和民用的视频音频解压缩处理领域。现在华为获得ARM的授权，在鲲鹏处理器研发上不断推出处理器，解决了服务器最核心的CPU...

OWASP（Open Web Application Security Project）开放式web应用程序安全项目，是一个非营利性组织，不依附于任何企业或财团的安全组织，几乎每隔3年发布的OWASP TOP 10安全漏洞以及成为安全行业事实上的标准。各安全检测工具以支持OWASP TOP 10中的更多安全漏洞类型作为目标。 作者统计了OWASP 2004、2007、...

2020年RSA大会于2月24日至28日在美国旧金山召开，今年的会议主题为“Human Element”，人为因素被认为是影响未来网络安全发展最深远的主题。DevSecOps任然是大家关注的焦点之一。RSA创新沙盒是全球网络安全风向标，今年进入十强的安全厂商中近半数聚焦在应用安全领域。BluBracket和ForAllSecure是今年DevSecOps领域的创新厂商代表。我在整理一...

微软自2004年就采用SDL（Security Development Lifecycle），即安全开发生命周期。后面很多安全企业提出S-SDLC（Secure Software Development Lifecycle）。这个概念也是被安全行业的公益组织OWASP所支持。安全中的SDLC就是指将原来集中在软件开发生命周期后期进行的工作，放到软件开发生命周期各个阶段去，在每个阶段做...

这几天正在了解GB/T 34943-2017 C/C++语言源代码漏洞测试规范。该标准是2017年11月1日发布，2018年5月1日正式实施的国家标准。该标准是中华人民共和国国家质量监督检验检疫总局和中国国家标准化管理委员会联合发布。该标准起草时，按照GB/T 1.1-2009给出的规则起草的。该标准主要起草单位有珠海南方软件网络评测中心、珠海中惠微电子有限公司等10家单位联合起草的...

小伙伴们，今天我们继续学习。Content-Security-Policy是指HTTP返回报文头中的标签，浏览器会根据标签中的内容，判断哪些资源可以加载或执行。翻译为中文就是绕过内容安全策略。是为了缓解潜在的跨站脚本问题（XSS），浏览器的扩展程序系统引入了内容安全策略这个概念。原来应对XSS攻击时，主要采用函数过滤、转义输入中的特殊字符、标签、文本来规避攻击。CSP的实质就是白名单制度，开发...

（CSDN 发文章时，拷贝文章中的图时，基本上每次都出错，需要一张一张拷贝进来。CSDN难道不能解决这个问题吗？）当用户登录后，在服务器就会创建一个会话(session)，叫做会话控制，接着访问页面的时候就不用登录，只需要携带session去访问。sessionID作为特定用户访问站点所需要的唯一内容。如果能够计算或轻易猜到该sessionID，则攻击者将可以轻易获取访问权限，无需登录直接进入...

近期，很多企业开始关注DevSecOps，下面根据作者对其理解，简单分析一下在DevSecOps的源代码安全该如何考虑和建设。主要分5部分：1、DevSecOps建设的背景和目的2、安全才是提升研发交付质量的第一要素3、安全自动化是安全交付的保障4、企业如何实施DevSecOps5、企业落实DevSecOps的动力正文：1 DevSecOps建设的背景和目的随着...

朋友们，在抗击新型肺炎的战役中，医护人员、政府和相关保障企业做出了巨大贡献，甚至生命。我们隔离在家，只有不信谣言、不断学习、传播正能量，共同呵护我们共同的家园。天地同根，万物共息。文件上传通常是由于对上传文件的类型，内容没有进行严格的过滤，检查，导致攻击者可以通过上传木马获取服务器的webshel​​l权限，因此文件上传扩展带来的危害常常是毁灭性的。文件上传漏洞的利用条件：能够成功上传...

File Inclusion，意思是文件包含（漏洞），是指当服务器开启llow_url_include选项时，就可以通过php的某些特性函数（include()，require()和include_once()，require_once()）利用url去动态包含文件，此时如果没有对文件来源进行严格审查，就会导致任意文件读取或者任意命令执行。文件包含漏洞分为本地文件包含漏洞与远程文件包含漏洞，远...

各位小伙伴，年底比较忙，直到今天我才有时间继续学习新内容。今天我们继续学习Command Injection，翻译为中文就是命令行注入。是指通过提交恶意构造的参数破坏命令语句结构，从而达到执行恶意命令的目的。在OWASP TOP 10中一种存在注入漏洞，最常见的就是SQL和命令行注入。PHP开发的系统中存在命令注入漏洞，也是PHP应用程序中常见的脚本漏洞之一，国内著名的Web应用程序Discuz!...

今天，我还是分析一款强大的代码安全审计工具到底应该什么样？还是以OWASP Benchmark的Java案例作为例子进行分析。Benchmark中2740个包含真假漏洞的案例中，分为10类，例如SQL注入、命令行注入、弱密码、弱哈希等等。下面我以其中三个类别的真假漏洞作为例子，进行分析。先看SQL注入，我从其中选择了一个具有代表性的案例，BenchmarkTest00105.j...

SQL Injection，即SQL注入，是指攻击者通过注入恶意的SQL命令，破坏SQL查询语句的结构，从而达到执行恶意SQL语句的目的。SQL注入漏洞的危害是巨大的，常常会导致整个数据库被“脱裤”，尽管如此，SQL注入仍是现在最常见的Web漏洞之一。近期很火的大使馆接连被黑事件，据说黑客依靠的就是常见的SQL注入漏洞。手工注入思路自动化的注入神器sqlmap固然好用，但还是要掌握一些手工...

代码安全审计产品、代码缺陷分析产品、代码安全分析等基于源代码静态分析技术的产品市场上越来越多，但是质量却层次不齐，误报率非常高，漏报率也不低，究其原因是为什么呢？因为一款静态分析类产品研发不是轻松的事，往往要经历几年时间，产品才会逐渐成熟，支持的开发语言和安全漏洞类型才能达到企业级应用水平，一般中小企业是很难投入如此长的时间进行研发的，而且静态分析类产品底...

下面是根据笔者从事软件代码安全检测工作的经验以及对开源组件、第三库安全漏洞检测工具的市场调研所获得的资料，如有错误或不妥之处，还请各位指正。如果表格中有一些未知信息你了解，请给帮我补充。让我们更多的了解市场上的主流工具。 目前这些工具在国内都有销售，其中Blackduck很多人都了解，前几年被Synopsys公司所收购，只能在国内销售不带库的版本。要把安全漏洞对应到...

近些年来，随着我国社会发展和科技进步，在军事、航天、航空、能源、金融、公共安全等众多领域，国家大型关键基础设施正在向着更强、更高的水平急剧跃升，呈现出超大型化、复杂化、安全关键的特征。软件在系统中起到核心的作用。随着软件规模的日益增大，代码数量由几万行，发展到现在经常出现几十万行，甚至几百万行代码的规模，系统的逻辑结构越来越复杂，只靠人工基本上无法满足代码审计的对于时效和成本等各方面的要求。...

小朋友们，今天我们开始学习CSRF跨站请求伪造攻击。CSRF是Cross-site request forgery的首字母拼写，中文一般称为跨站请求伪造，是指利用受害者尚未失效的身份认证信息（cookie、会话等），诱骗其点击恶意链接或者访问包含攻击代码的页面，在受害人不知情的情况下以受害者的身份向（身份认证信息所对应的）服务器发送请求，从而完成非法操作（如转账、改密等）。早在 2007 年就...

今天我学习XSS攻击的第三种类型，Stored XSS，也就是存储型XSS。存储型XSS的不同之处在于它可以将用户有害输入信息存储在后台数据库中，不需要攻击者构造URL链接诱使受害人单击而触发攻击，目标网站的其它用户只要访问插入恶意代码的网站相关页面即可触发代码执行。相比较反射型XSS更隐蔽性，受害者范围更广，在这我们将学习一些更为隐蔽的隐式的方式来获取用户cookie。 首先设置为Low...

XSS(DOM) DOM类型攻击 1、Low级别选择’English’,查看后端源代码如下，说明无任何保护措施，直接尝试注入。单击【Select】后，发送get请求。把参数修改为http://192.168.92.129/DVWA/vulnerabilities/xss_d/?default=<script>alert(1)</script>...

今天给大家show一下，国内最强的代码审查工具CoBOT，对OWASP Benchmark进行代码审查的报告。 Benchmark 代码检测报告 ...

今天我学习一下反射型XSS。1、low级别打开DVWA网站，先切换到low级别，选择XSS（Reflected）先查看其源代码：<?phpheader("X-XSS-Protection:0");//Isthereanyinput?if(array_key_exists("name",$_GET)&&$_GET['name...

北大软件CoBOT（库博）是具有自主知识产权的静态检测工具。在2013年获得了计算机软件著作权，基于值依赖分析的C程序缺陷静态检测系统。很多同行对值依赖分析的概念可能不是太清楚，今天我们主要分析一下这个技术。值依赖分析是建立在值流模型基础之上的，值流模型最早由Horwitz提出，值流图中结点与结点之间的连线表示的是数据流分析中的定值使用关系。值流依赖表示由于定值-使用连接的依赖关系。值流依赖关...

根据2019年11月12日来自于五角大楼的Dod发言称，谁真正写了你的代码？原因主要是因为美国程序员经常从各种场合下载使用来自于俄罗斯和中国程序员编写的代码。这对美国的国防安全提出了严峻挑战，所以五角大楼正在研究开发或者购买工具来实现对代码的追踪。一位负责采购软件的美国官员称，虽然我们购买的软件来自于美国公司，但是不意味着所有的代码都是这里写的。软件开发公司或程序开发人员将工作...

今天我学习一下反射型XSS。打开DVWA网站，先切换到low级别，选择XSS（Reflected）先查看其源代码：<?phpheader("X-XSS-Protection:0");//Isthereanyinput?if(array_key_exists("name",$_GET)&&$_GET['name']!=...

这些天正好与朋友聊测试视角，如何培训建立测试视角，都认为还是有一定困难的，毕竟软件测试是门实践性的学科，经验积累还是很重要的，测试的项目多了，自然而然的思考的测试角度广了，深了。但是如果是培训的话，如何在一天配撇中，提升测试视角呢？其实应该也有一些方法，下面我通过一个小例子，谈谈如何建立测试视角。这是一个检测项目的页面，通过浏览器访问的，主要是通过新建项目按钮建立项目后，可以启动进行检测、中止...

小伙伴们，我们一起学习一下DVWA这个如何进行安全攻击吧。学习下DVWA（Damn Vulnerable Web Application），那么这玩意是个啥呢？DVWA是一款渗透测试的练习系统，也就是我们的测试靶机，很适合入门，要为以后的挖洞致富之路打好基础DVWA简介DVWA（Damn Vulnerable Web Application）是一个用来进行安全脆弱性鉴定的PHP/MyS...

最近在某金融客户做POC，把CoBOT安装在Jenkins上面，当前Jenkins版本没有任何插件，安装后由于是云桌面没有连接互联网或已经设置访问策略，无法进行在线安装插件，所以只能下载插件后再安装。在网络上搜索Jenkins插件，下载到两个插件包，4G插件，这么多插件手工安装，那不是累的吐血，也没有这么多时间。还是感谢Jenkins平台，在配置项目过程中，会逐步提示缺少什么，如下...

PHPStudy软件是国内的一款免费的PHP调试环境集成包，一般在本机调试情况下使用，当然也有一些企业在生产中也可能使用。该后门首先由ChaMd5安全团队发布监测方法和后门位置。该软件被恶意攻击者攻击，注入了后门，通过远程控制抓取账号密码等信息传固定服务器上。要检查安装的phpstudy是否有漏洞，可以使用下面脚本（安识安全团队撰写的，不重复造轮子了）#encoding:utf-...

前面发了两篇都是关于C语言缓冲区溢出的文章，有的同行问，是否C#、Java语言有缓冲区溢出问题吗？答案是否定的。由于C#、Java语言需要虚拟机去执行，属于托管语言，虚拟机会自动检查边界。一般不会出现缓冲区溢出。但是通过JNI调用本机代码、以及JVM/CLR/ETC等虚拟机可能出现这些问题。所以缓冲区溢出最突出的语言是C和C++。下面我们再深一步了解缓冲区溢出的原理。缓冲区是一块连续的...

10月1日整理了缓冲区溢出的C语言例子，今天再整理一下由于程序员编程错误导致的问题。可以理解为常规缓冲区溢出。常规缓冲区溢出是指由于程序员书写错误导致的显式缓冲区溢出漏洞。根据其产生方式，程序行为和调用函数的区别，分成为面几类。给数组赋值字符串越界缓冲区赋值超过缓冲区长度的字符串常量则会导致缓冲区溢出。#include <stdio.h>...

缓冲区是指内存中一段连续的地址空间，用来缓存数据。在大多数开发语言中，把数组和指针分配的空间作为缓冲区。缓冲区溢出是指读取或写入的范围超过数组或指针指向的缓冲区空间，导致程序运行期间发生异常。缓冲区溢出大多数情况下编译器无法给出错误信息，而只有当程序运行期间才会暴露出来，所以缓冲区溢出也归属于运行时缺陷。运行期间发生异常是由于缓冲区溢出数据（包括上界和下界），破坏了缓冲区上下边界外其它变...

在商业社会中，没有永远，只有商业利益。当然商业利益与国家利益发生冲突时，要服从国家战略利益。 2018年微软以75亿美金收购了世界第一开源网站Github时，我们惊叹这世界变化太快，思考微软收购Github会给开源带来什么影响时，而这几天，微软又宣布收购软件安全创企Semmle时，我不仅要陷入思考，而是开始担心，微软间...

2017.11.27日，国务院发布关于深化“互联网+先进制造业”发展工业互联网的指导意见的政策文件。指导意见中用基本形势，总体要求，主要任务，保障支撑四个章节全面阐述了先进制造业融入互联网发展的新工业革命的历史契机，是把互联网信息技术融入到先进制造业，推动制造业向工业化、智能化、信息化发展的新兴业态和应用模式。云计算、大数据、人工智能等新一代信息技术与制造技术加速融合，以及互联网技...

2016年10月10日，第五届全国信息安全等级保护技术大会召开，公安部网络安全保卫局郭启全总工指出：国家对网络安全等级保护制度提出了新的要求，标志着等级保护制度进入2.0时代。2017年5月，公安部发布《网络安全等级保护定级指南》、《网络安全等级保护基本要求 第5部分：工业控制系统安全扩展要求》等4个行业标准，把等级保护上升为法律，等级保护的工作内容和保护对象持续扩展，尤其是对国家关键信...

随着软件行业的不断发展，IT管理者都试图解决一个问题，就是系统质量到底如何？面对这个问题，工业界和学术界都进行了大量研究，是否通过建立模型解决这个问题。最早的提出的是千行代码缺陷率，也就是根据一千行代码中有多少bug数，计算这个值。CMM也给出了5个级别对应的千行代码缺陷率，CMM1级为11.95‰，CMM5级的要达到0.32‰,CMM5级比CMM1级软件的质量要提高40...

在刚刚结束的2019年ITSS技术要求标准编制会议上，北京大学软件工程国家工程研究中心应邀参与了ITSS Devops技术标准的编写工作，在代码审查环节以及整个Devops的技术标准上提出了非常多的宝贵意见。Devops作为软件生命周期管理领域的新思维，已经被业界所接受，很多企业在落地实施。毋容置疑，Devops为软件行业流程改造带来了新思维，满足越来越快速的集成、构建、发布和...

何为同源分析？软件领域引用医学领域的DNA基因序列检测中的同源性分析。在软件领域，是指对软件中引用的构件是否来自于同一个构件发布源的代码分析和检测技术。在目前开源文化日益盛行的今天，开源软件已经被大量应用到软件开发环节，提升了研发效率，但是由于对开源认识上的不全面，导致对开源软件的发布、管理、运用等存在着诸多问题，尤其是对软件系统安全带来了极大的风险。在引用开源组件的同时，也把组件中的安全...

今天拿到了北京大学库博研究团队刚刚发布的灏博软件源代码成分和漏洞分析平台的试用网址，非常兴奋，因为这是国内第一个能够对系统中进行开源组件引用分析和组件中安全漏洞分析的平台，打破了国外对该领域的垄断地位，国内企业也可以用上我们具有自主知识产权的面向开源的安全漏洞检测工具了。迫不及待的打开网站登录，网址是http://www.cobot.net.cn:8095/有兴趣的朋友可以咨...

笔者从事该软件安全方面工作，在工作和学习中收集了国内外比较主流的静态分析类工具，供大家参考。大多是资料来自于网络整理，如有不足或欠缺，还请在评论中指出。我进行修正。也欢迎同行多多交流。我使用0标注北大软件CoBOT，因为他是国内第一款基于主流SAST技术的静态分析工具，填补了国内在缺陷检测、安全漏洞软件工具上的空白。值得称赞的工具。0、北大软件CoBOTCoBOT（库博）是北京大学...

笔者一直从事于软件测试、软件安全方面工作，跟踪国内外软件测试工具的使用和效果。最近笔者接触了CoBOT源代码缺陷检测工具，想验证一下该工具的检测效果，于是下载了OWASP Benchmark 1.2基准测评项目，通过CoBOT官网联系试用工具，看看这款工具到底如何。 OWASP Benchmark是OWASP(Open Web Application Securi...

2019年6月6日，工信部对四家运营商发放了5G商用牌照，标志着中国即将正式进入5G商用元年。5G标准是全球产业界共同参与制定的统一国际标准，中国声明的标准专利占比超过30%。5G商用牌照的发放将进一步推动运营商加快5G网络建设；芯片和射频器件等5G器件企业将首先收益；5G的终端设备、信息技术服务也将成为5G的重点。国内外企业必将积极参与5G网络下的应用建设，中国信通院发布的报告显示，预计2020...

根据全球最具权威的IT研究与顾问咨询公司Gartner发布数据来看，从2010年到2018年软件程序代码中采用开源框架或组件、第三方库的比例每年以30%的速度在增长，大量的软件系统引入了开源代码，有的系统引用开源代码比例甚至达到了80%以上，这在IT研发环节，大幅度提升了软件研发的效率，降低了成本，但是开源软件中大量缺陷、甚至安全漏洞也一并打包进入到了软件部署包，从而进入了软件供应链各个...

可维护性度量是CISQ给出的4个通过静态代码可以度量的指标之一。本文件描述了CISQ自动化系统中包含的20个弱点漏洞。可维修性的质量特性测量。这些描述已经简化。根据已发布的OMG®规范中的描述，该规范使用了来自其他公司的形式。OMG元模型，用于指定机器可处理XMI中表示的弱点符号。下表给出了每个弱点及其唯一的cisq标识符描述性名称，并对作为建议的缺陷进行更全面的描述补救。可维护...

性能效率度量是CISQ给出的4个可以通过代码度量的指标之一。本文件描述了CISQ自动质量特性度量包含的15个弱点。这些描述根据已发布的OMG®规范中使用形式化的描述进行简化，从其他OMG元模型中指定在机器中表示的弱点，可处理的XMI符号。下表给出了每个弱点及唯一的CISQ标识符、简短的描述性名称和对弱点的更完整描述作为补救建议。性能效率弱点衡量软件中包含的可降低系统性能的弱点的程度的指...

安全性度量作为CISQ进行代码度量的4个指标之一，可以通过22个弱点进行度量。本文件介绍了CISQ自动化质量特性安全措施中包含的22个弱点的描述。这些描述已经简化，从它们在出版OMG规范中的描述来看，这些描述是用其他OMG Meta-Models的形式来具体说明机器可处理XMI Notation中的代表性不足。下表给出了每个缺陷及其唯一的CISQ标识符、简短的描述性名称以及作为补救建议的缺...

CISQ把可靠性度量作为通过软件属性元素可以度量的指标之一。主要是通过CWE缺陷中的29个来进行度量。可靠性弱点描述本文件介绍了CISQ自动化质量特性可靠性措施中包含的29个缺陷的描述。这些描述已经简化，从他们的描述到出版OMG的规范，这些规范使用其他OMG META模型的形式来规范机器处理XMI中的代表性缺陷。下表给出了每个缺陷及其唯一的CISQ标识符、简短的描述性名称以及作为补救建...

2、确定功能大小（规范性）2.1将应用模型元素输入功能分级2.1.1 KDM中应用模型的表示应用模型元素应实例化为现有的KDM(Knowledge Discovery Meta-model)元素，其关系如表7.1，然后将这些KDM元素转换为自动功能点过程中使用的SMM（Structured Metrics Meta-model）元素，这一国际标准主要集中在关系数据库上，因为这是最...

1、AFP介绍1.1功能点概述使用功能点作为软件功能大小的度量，最初是在20世纪70年代中期引入的，并且今天被全世界的组织使用。IBM的AllanAlbrecht是第一个公开发布功能尺寸软件称为功能点分析（Albrecht，1979，1981）。自1986年成立以来，国际功能点用户组（ifpug）不断维护和增强了原有的albrecht。功能尺寸软件（ifpug cpm）的方法。功能...

近期，主要对AFP进行研究。AFP是Automated Function Points的缩写。主要是指采用自动化方法识别程序功能点的方法。目前，主要国内工具中，只有CAST AIP 7.1+ 支持该功能。工具计算标准，主要参照CISQ组织发布的标准。CISQ 是Consortium for IT Software Quality的缩写，是软件质量联盟组织。CAST AIP可用于分析企业应用程...

软件健康管理是近几年兴起的一个综合性研究领域，涉及到软件信息分析技术、缺陷检测技术、故障诊断技术、健康评估技术以及缺陷修复技术等多个方面。在软件研发过程中，通过对整个软件进行多维度监控、检测和分析，以提高软件运行安全性和可靠性。虽然说不同行业，对软件健康关注的角度不同，但是核心还是相同或相似的，包括软件故障模式分析、异常检测与故障诊断算法、度量分析技术以及故障修复技术等。如果对于武器装备系统软件，...

这是Cert Java中的一段源代码，如果是在多线程中环境中，该段代码的执行结果可能不是我们想要的结果。finalclassControlledStopimplementsRunnable {privatebooleandone =false;@Overridepublicvoidrun() {while(!done) {...

很多人曾经问，你们的工具为什么没有360有名？ 这个问题，主要原因如下（个人观点，不代表公司和任何人）： 首先从360公司性质来看，是一个以免费杀毒软件，颠覆了传统杀毒软件竞争对手的公司，其公司文化是以互联网的方式打败竞争对手，销售模式是互联网模式，通过建立安全生态圈，在安全行业中占据主要市场。 其次，为什么360出名？360是以免费杀毒软件占用了国内杀毒软件的几乎所有终端用...

各位朋友，下面我Centos 7 docker 安装代码检测工具Sonarqube和cppcheck等过程放在这里，供大家参考。首先安装CentOs 7：docker pull Jenkins/jenkins:ltsmkdir /home/jenkins修改目录执行权限chown -R 1000:1000 jenkins/ 给uid为1000的权限ls -nd ...

2013年7月10日，中国人民解放军总装备部发布了中华人民共和国国家军用标准GJB 8114，全称为GJB 8114-2013《C/C++语言编程安全子集》，提出软件编程标准，以提高国家军用软件的安全性，并作为静态规则检查的依据。GJB 8114的提出源于2005年发布的GJB 5369，全称为GJB 5359-2005《航天型号软件C语言安全子集》是航天领域嵌入式C语言的编程标准...

（十四）安装Python的基础包工具setuptools一种安装方法：C:\Users\IBM\AppData\Local\Programs\Python\Python37\Lib\test\libregrtest\setup.py install另一种是下载安装的exe文件，默认安装Python37\Lib\site-packages下面（十五）检查安装selenium 和se...

弱密码主要是由于系统或用户的密码没有达到一定的复杂程度的密码或使用较弱的加密算法产生的密码，恶意攻击者可以通过猜测、彩虹表、cookie、配置文件、注册表、网络截获等手段可以破解的密码。 CWE-261对应该类缺陷,对应OWASP 2004年十大类别A8-不安全存储，SFP二级集群的弱密码学。这些涉及到凭证管理、不受保护的凭证存储、配置文件中的空密码、使用硬编码密码、...

今天继续第二天的分享。（六）ADB安卓调试桥使用ADB的全称为Android Debug Bridge，安卓调试桥。如安装软件、卸载软件、系统升级、运行shell命令等。adb就是连接Android手机与PC端的桥梁。可以单独从官网(developer.android.com)下载安装，也可以通过SDK manager安装。安装后，在platform-tools目录中。使用真机或仿...

APP自动化测试在面试中的比重还是很大，其实APP自动化测试本身不难，大多数刚刚接触APP自动化测试的朋友常常被多种APP自动化测试工具搞晕，其实只要掌握了自动化测试的本质、工具的原理，在面试和工作中就能游刃有余。掌握工具原理，才能真正搞明白工具怎么一会事，面试官会问哪些问题。当然要拿到大厂的offer，还是需要下功夫把东西学深入的，三天搞懂，个三天你能成为专家，大厂测试专家问...

在静态源代码检测工具方面，国内很多公司在研发产品，包括北大软件CoBOT、奇虎测腾的代码卫士、360企业代码卫士、清华大学软件学院Tsmart代码分析工具集、腾讯TscanCode开源静态扫描工具，端玛企业级静态源代码扫描分析平台DMSCA、找八哥源代码安全检测系统等。 知名度比较高的可能是360的代码卫士，借助其公司品牌和免费杀毒软件等宣传，行业内知名度较高，但是工...

目前，基于源代码静态检测分析技术，运用越来越广，那么源代码安全检测的技术主要有哪些呢？下面我结合源代码静态分析的发展，技术特点，来分析四种相关技术：数据流和模式匹配技术 符号执行的分析技术 抽象解释的分析方法 值流分析为主的分析方法 数据流和模式匹配分析技术早期静态分析工具经常采用的技术，包括达到定值分析、支配分析、活跃变量分析、静态单赋值技术等，这类分析技术...

程序依赖图(Program Dependence Graph)是程序的一种图形表示,它是带有标记的有向多重图。系统程序依赖图是软件程序间控制依赖关系和数据依赖关系的图形表示。面向方面的程序是基于面向方面的思想,使用相关的框架或语言工具,实现系统中横切关注点的清晰模块化的程序。系统依赖图是分析和理解程序的基础工具之一,其在面向对象的程序上的研究渐趋成熟,而在面向方面的程序上的研究才刚刚开始。处理...

Eclipse CDT Project提供了基于Eclipse平台的功能齐全的C和C ++集成开发环境。功能包括：支持项目创建和各种工具链的托管构建，标准构建，源导航，各种源知识工具，如类型层次结构，调用图，包含浏览器，宏定义浏览器，具有语法突出显示的代码编辑器，折叠和超链接导航，源代码重构和代码生成，可视化调试工具，包括内存，寄存器和反汇编查看器。许可证形式为Eclipse Public Lic...

弱密码主要是由于系统或用户的密码没有达到一定的复杂程度的密码或使用较弱的加密算法产生的密码，恶意攻击者可以通过猜测、彩虹表、cookie、配置文件、注册表、网络截获等手段可以破解的密码。CWE-261对应该类缺陷,对应OWASP 2004年十大类别A8-不安全存储，SFP二级集群的弱密码学。这些涉及到凭证管理、不受保护的凭证存储、配置文件中的空密码、使用硬编码密码、配置文件中的密码、权限和访问...

SSA即静态单赋值，是一种中间表示形式,在程序正文中，每个变量只有一个定值。这个（静态的）定值可能位于一个可（动态）执行的多次循环中。静态单赋值几种形式：（1） 当每个变量只有一个定值时，数据流分析和优化算法可以变得更简单。（2） 如果一个变量有 N 个使用和 N 个定值，代码中可能是n+m条语句。表示定值-使用链所需要空间（和时间）和 N·M 成正比——即成平方增大。（3） 静态单赋...

在源代码安全领域工作的朋友都知道CWE和CVE，但是还是有一些朋友不太了解这两个词语。这里我根据网络资料和经验整理一下，供刚进入该领域人员的参考。CWE（Common Weakness Enumeration，通用缺陷枚举）。是由美国国土安全部国家计算机安全部门资助的软件安全战略性项目。CVE （Common Vulnerabilities & Exposures，常用漏洞和风险）...

Spring Boot是由Pivotal团队提供的全新的开源框架，其设计目的是用来简化新Spring应用的初始搭建以及开发过程。该框架使用了特定的方式来进行配置，从而使开发人员不再需要定义样板化的配置。通过这种方式，Spring Boot致力于在蓬勃发展的快速应用开发领域(rapid application development)成为领导者。现在很多研发团队开始转向采用该框架，但...

业界对于代码安全性度量一直没有标准。Testbed没有该指标，testbed只有清晰性、可维护性、可测试性以及三者综合指标。Sonarqube中的代码安全度量：原文：根据结合上述以及相关资料对代码安全度量方法，我对通过静态分析结果度量代码安全性进行了简单设计如下：1、NNV，Number of new vulnerabilities，每次提交后检测发现的漏洞数量新提交...

SSA即静态单赋值，是一种中间表示形式。 之所以称之为单赋值，是因为每个名字在SSA中仅被赋值一次.SSA是一种高效的数据流分析技术，目前几乎所有的现代编译器，如GCC、Open64、LLVM都有将SSA技术的支持， 不仅仅是编译器，Jikes RVM, HotSpot JVM, .Net的Mono，Python的Pypy， Andoroid的Dalvik，这些虚拟机/解释器中的Just-in...

建立在库博大数据安全分析平台之上的库博软件成分和安全分析工具可以对AI开源框架进行成分分析，根据框架中引用的组件，形成一个组件依赖的知识图谱。任何一个依赖的组件发现问题，能够根据知识图谱快速判断是否收到影响，找到受影响的组件并进行修复，防止0day漏洞发生。通过对Tensorflow的成分分析获知，整个框架主要是由Java语言开发、1,099,906行代码，4312个文件。共找到9个依赖的组件，t...

本篇先介绍一下Linux下图形用户界面形式安装，北大CoBOT目前支持各种Linux下安装，包括CentOS、Ubuntu、Redhat等，也支持国内操作系统中标麒麟和银河麒麟的安装。安装包放在指定位置，cd进入指定目录 解压CoBOT-3.6.2.1-Server-linux.zip文件到当前目录 unzip CoBOT-3.6.2.1-Server-linux.zip –d ./ ...

在基于SAST的静态分析工具中，指向分析是经常采用的分析技术。指向分析怎么理解呢？指向分析是一种用于分析指针和内存引用所指向的变量或内存地址的静态代码分析技术。指向分析技术是很多更为复杂的代码分析技术的基础，例如编译优化，代码缺陷检测以及指针修改影响分析。指向分析，是指通过对源程序的分析近似地求出源程序中指针表达式所指向的目标。指向分析紧接数据流分析，是静态分析中的一个难点。对于任何一...

（该文章来自于网络）如何通过Semmle QL找到Apache Struts的远程执行代码漏洞前言2018年4月，一个新的Apache Struts远程代码执行漏洞被报告。在Struts特定配置下，访问特制的URL可以触发该漏洞。漏洞编号为CVE-2018-11776（S2-057）。本文将介绍发现漏洞的过程。映射攻击面许多漏洞涉及从不受信任的源（例如，用户输入）流向某个特定位...

为了发现软件的安全漏洞和缺陷，确保应用系统是安全可靠的，就需要针对Web系统做应用检测，识别Web应用程序中架构的薄弱环节，以免轻易的受到恶意攻击者的攻击。主要市场上主要的检测技术主要是DAST、SAST、RAST和IAST，每种技术都有一定的优缺点。我们注意了解一下。DAST是Dynamic Application Security Testing的首字母缩写，是动态应用程序安全测试技术...

Semmle公司获得2100美元的B轮融资，领投方为Accel Partners，这是后者第二次投资这家公司。其他投资者包括Work-Bench、Capital One、Credit Suisse、谷歌、微软、NASA和Nasdaq Trust。本轮融资后，Semmle的融资总额将达到3100万美元。那么被业界追捧的Semmle有什么产品呢？Semmle公司声称以一种独特的方法寻找代码中...

国内外每年都会出现安全漏洞导致的严重的安全问题的报道，有些造成重大经济损失，有些造成信息泄漏。1、斯诺登棱镜计划泄露的文件中描述PRISM[prɪzəm]计划，能够对即时通信和既存资料进行深度的监听。许可的监听对象包括任何在美国以外地区使用参与计划公司服务的客户，或是任何与国外人士通信的美国公民。美国国家安全局在PRISM计划中可以获得的数据电子邮件、视频和语音交谈、影片、照片、VI...

在源代码静态分析和缺陷检测方面，目前市场上主要有Coverity、Checkmarx、Klockwork和CoBOT。前三个为国外工具，最后一个是国内检测工具。其中Coverity和Klockwork都是美国厂商，Checkmarx是以色列厂商。这些工具有什么特点，各自有什么优势呢？笔者的企业正好在筹备引进源代码缺陷检测工具，所以有机会就四款工具进行了对比验证。截止今天只使用两款工具Checkma...

 使用adb shell dumpsys meminfo分析app内存截图：Native Heap：Native代码分配的内存，虚拟机和Android框架分配内存。关于什么是Native代码，即非Java代码分配的内存。详细介绍请找百度。Dalvik Heap：Java对象分配的占据内存Dalvik Other：类数据结构和索引占据内存Stack：栈内存Ashmem：不...

作者：大开科技-曹向志  摘要：本次测试是受甲方公司委托，对运用区块链技术的一个应用后台系统进行负载测试，主要是评估系统在系统资源正常利用率下TPS是否能够达到20000，并发用户超过2000，响应时间不超过0.2秒。测试环境搭建全部基于云上，可以根据需要扩展应用服务器和压力机。建立在区块链技术上的应用系统特点是部署在Docker里，且只能通过后台服务接口调用，部署在T...

各位，我从2018年8月起把博客搬家到CSDN上，请大家继续关注我的文章。

作者：大开科技-曹向志   摘要：本次测试是受甲方公司委托，对运用区块链技术的一个应用后台系统进行负载测试，主要是评估系统在系统资源正常利用率下TPS是否能够达到20000，并发用户超过2000，响应时间不超过0.2秒。测试环境搭建全部基于云上，可以根据需要扩展应用服务器和压力机。建立在区块链技术上的应用系统特点是部署在Docker里，且只能通过后台服务接口调用，部署在Tomcat之上，Ber...

大开科技是2016年在北京中关村软件园成立的信息技术企业，公司位于上地软件园。公司旨在为广大的软件培训机构、大学院校、职专/职高等企事业提供IT培训服务。公司发展目标是成为中国软件培训机构著名品牌。大开愿景，用创新思维打造IT培训新视野，培养IT人才进万家高新企业。我们的课程体系的特色是针对目前教育/培训课程中理论内容多，而实践内容比较少，导致学生或学员动手实践...

QQ群号：122289705

Checklist ItemWhich module in QC are you favorable of most?QC中你最喜欢用哪个模块？Which module in QC are you unfavorable of most?QC中你最不喜欢用哪个模块？How long do a normal project usuall...

Checklist ItemWhich module in QC are you favorable of most?QC中你最喜欢用哪个模块？Which module in QC are you unfavorable of most?QC中你最不喜欢用哪个模块？How long do a normal project usually last?...

不用说了，请看下面截图，有这种网站出现，说明对顾客太负责任了，对于价格这种购物最关键的问题，出现此种矛盾和问题，暴露了商家的不认真，对网站质量控制上，测试上，流程上有很多的问题，值得反思。看看这个首页促销的商品吧，出来了10.3折，真不知道商务部看了是否有惩罚他们的想法了。呵呵    ...

不用说了，请看下面截图，有这种网站出现，说明对顾客太负责任了，对于价格这种购物最关键的问题，出现此种矛盾和问题，暴露了商家的不认真，对网站质量控制上，测试上，流程上有很多的问题，值得反思。看看这个首页促销的商品吧，出来了10.3折，真不知道商务部看了是否有惩罚他们的想法了。呵呵 ...

CloudComputing: Testing the CloudAmong the many factors toconsider when contemplating a move to cloud-based services is theability of your potential provider to test and monitor itsse...

CloudComputing: Testing the CloudAmong the many factors toconsider when contemplating a move to cloud-based services is theability of your potential provider to test and monitor itsservices....

云计算系统测试转载于：http://www.51cto.com/art/201110/295530.htm 云计算系统中大量融入了面向服务的体系结构，用户可以通过该体系结构来实施、部署、执行和管理自己所提交的作业，可以说云服务是构成云计算系统的基本功能单元。云服务测试也成为云计算系统测试的基础部分。同时，云计算的目的是提供实现高性能计算、可靠、稳定而安全的计算环境，...

云计算系统测试转载于：http://www.51cto.com/art/201110/295530.htm云计算系统中大量融入了面向服务的体系结构，用户可以通过该体系结构来实施、部署、执行和管理自己所提交的作业，可以说云服务是构成云计算系统的基本功能单元。云服务测试也成为云计算系统测试的基础部分。同时，云计算的目的是提供实现高性能计算、可靠、稳定而安全的计算环境，云计算的性能测试...

转载来自（T&amp;G项目管理工作室）的PMP考试文章，非常好。原文地址：关于PMP考试的整体分析与技巧作者：TG项目培训咨询请勿用于商业用途，转载请注明出处。 1.了解PMP考试试题分布 按启动（11%）、规划（23%）、执行（27%）、监控（21%）、收尾（9%）、道德（9%）。请参见  2011年8月后会有新的变化。 2.考试简介：中国大陆的PMP考...

1. 用户导入设置     登录QC 后台site administration，如下图点击“LDAP ImportSettings”。这个设置主要是在qc里面设置要与LDAP集成的各项参数用来从LDAP server导出用户到QC中。  在下图中我们要输入LDAP的URL基本格式为：如果是非加密访问：ldap://&lt;ldap_server&gt;...

1. 用户导入设置登录QC 后台site administration，如下图点击“LDAP ImportSettings”。这个设置主要是在qc里面设置要与LDAP集成的各项参数用来从LDAP server导出用户到QC中。在下图中我们要输入LDAP的URL基本格式为：如果是非加密访问：ldap://<ldap_server>:389如果是...