manok的专栏

Checkmarx是一家以色列高科技软件公司，是世界上著名的代码安全扫描软件Checkmarx CxSAST的生产商，拥有应用安全测试的业内前沿解决方案-CxSAST、CxOSA、CxIAST。分别对应的SAST、SCA和IAST三类应用安全测试类型工具。Checkmarx CxSAST主要功能是查找安全漏洞、质量缺陷、逻辑问题和后门代码。是一个独特的源代码分析解决方案，该工具可用于识别、跟踪和修复源代码中技术上和逻辑上的缺陷，比如软件安全漏洞、质量缺陷问题和业务逻辑问题等。Checkmarx使用

log4j安全漏洞能够从代码级别上和软件成分分析上两个维度上进行检测。

源代码审计，最近比较火爆，我们是创新的源代码审计课程。

源代码审计依据的国家标准GB/T 34944 、GB/T 34943、GB/T 34946。 而仅仅依据这三个标准还不够，1是仅仅覆盖了C/C++、Java和C#语言；2是安全漏洞类型仅仅有43个类型，也是不够的；3另外，需要检测工具落地，结合人工复核技术，真正落实源代码审计中，对误报进行分析，对于漏报漏洞可能性进行分析。

代码审计专家服务团队，除了提供网络、现场的源代码审计服务外，为了帮助企业建立代码安全审计平台、Devops/DevSecOps平台、代码扫描基线、安全和质量编码规范、制度流程，打通企业研发的各个管理环节，实现自动化等企业级源代码安全审计咨询服务。 企业要建立代码安全审计平台，实现高效的自动化代码安全审计，需要打通企业研发生命周期的各个环节，让自动化检测工具融入现有开发、测试环境，并真正被接受和充分利用，需要从工具选型、扫描基线、编码规范到制度流程等各个环节进行评估和设计。包括但不限...

2020年初的疫情危机前面，党中央和国务院审时度势、果断应对、科学防控，以巨大的制度优势和战略自信带领全国人民取得了疫情阻击战的阶段性胜利，病毒仍然在世界范围内迅速蔓延，世界各国经济发展遇到了挑战。恢复经济的着力点在哪里，成为政府和各界热议的话题。3月4日，中央政治局常务委员会会议强调，加快推进国家规划已明确的重大工程和基础设施建设，加快5G网络、数据中心等新型基础设施建设进度，再次...

在软件代码安全领域，是上周以色列Checkmarx公司被私募股权公司以惊人的11.5亿美元注资收购。Checkmarx公司是应用程序安全测试方案的全球领导者，一直专注于软件静态分析工具研发，其核心产品Checkmarx在全球享有非常高的知名度，具有大量用户。在静态分析工具领域，2019年是一次比较大的收购是GitHub收购Semmle公司，官方没有公布收购价格，但是Semm...

随着开源技术在云计算、大数据、AI领域的不断运用，不断破除技术壁垒，让企业快速建立自身的应用，在开源软件基础一，自主研发部分代码，便可以推出企业自身品牌的产品，开源技术的应用极大的推动了云计算、大数据、AI等领域的快速发展。但是开源软件的引用不可避免的带来了知识产权、信息安全等方面问题。根据Gartner统计，98%的企业管理者并不知道自己研发产品里的成分、...

由第一计算平面迁移到第二计算平面，也就是由原来的X86架构迁移到ARM架构，必将成为中国IT行业发展历史上的重要里程碑。当性能和安全摆在企业面前，让我们选择时，安全当然是被放在第一的位置。但是ARM架构处理器的性能本身还是非常优秀，最早ARM架构的处理器多由于军工领域和民用的视频音频解压缩处理领域。现在华为获得ARM的授权，在鲲鹏处理器研发上不断推出处理器，解决了服务器最核心的CPU...

OWASP（Open Web Application Security Project）开放式web应用程序安全项目，是一个非营利性组织，不依附于任何企业或财团的安全组织，几乎每隔3年发布的OWASP TOP 10安全漏洞以及成为安全行业事实上的标准。各安全检测工具以支持OWASP TOP 10中的更多安全漏洞类型作为目标。 作者统计了OWASP 2004、2007、...

2020年RSA大会于2月24日至28日在美国旧金山召开，今年的会议主题为“Human Element”，人为因素被认为是影响未来网络安全发展最深远的主题。DevSecOps任然是大家关注的焦点之一。RSA创新沙盒是全球网络安全风向标，今年进入十强的安全厂商中近半数聚焦在应用安全领域。BluBracket和ForAllSecure是今年DevSecOps领域的创新厂商代表。我在整理一...

微软自2004年就采用SDL（Security Development Lifecycle），即安全开发生命周期。后面很多安全企业提出S-SDLC（Secure Software Development Lifecycle）。这个概念也是被安全行业的公益组织OWASP所支持。安全中的SDLC就是指将原来集中在软件开发生命周期后期进行的工作，放到软件开发生命周期各个阶段去，在每个阶段做...

这几天正在了解GB/T 34943-2017 C/C++语言源代码漏洞测试规范。该标准是2017年11月1日发布，2018年5月1日正式实施的国家标准。该标准是中华人民共和国国家质量监督检验检疫总局和中国国家标准化管理委员会联合发布。该标准起草时，按照GB/T 1.1-2009给出的规则起草的。该标准主要起草单位有珠海南方软件网络评测中心、珠海中惠微电子有限公司等10家单位联合起草的...

小伙伴们，今天我们继续学习。Content-Security-Policy是指HTTP返回报文头中的标签，浏览器会根据标签中的内容，判断哪些资源可以加载或执行。翻译为中文就是绕过内容安全策略。是为了缓解潜在的跨站脚本问题（XSS），浏览器的扩展程序系统引入了内容安全策略这个概念。原来应对XSS攻击时，主要采用函数过滤、转义输入中的特殊字符、标签、文本来规避攻击。CSP的实质就是白名单制度，开发...

（CSDN 发文章时，拷贝文章中的图时，基本上每次都出错，需要一张一张拷贝进来。CSDN难道不能解决这个问题吗？）当用户登录后，在服务器就会创建一个会话(session)，叫做会话控制，接着访问页面的时候就不用登录，只需要携带session去访问。sessionID作为特定用户访问站点所需要的唯一内容。如果能够计算或轻易猜到该sessionID，则攻击者将可以轻易获取访问权限，无需登录直接进入...

近期，很多企业开始关注DevSecOps，下面根据作者对其理解，简单分析一下在DevSecOps的源代码安全该如何考虑和建设。主要分5部分：1、DevSecOps建设的背景和目的2、安全才是提升研发交付质量的第一要素3、安全自动化是安全交付的保障4、企业如何实施DevSecOps5、企业落实DevSecOps的动力正文：1 DevSecOps建设的背景和目的随着...

朋友们，在抗击新型肺炎的战役中，医护人员、政府和相关保障企业做出了巨大贡献，甚至生命。我们隔离在家，只有不信谣言、不断学习、传播正能量，共同呵护我们共同的家园。天地同根，万物共息。文件上传通常是由于对上传文件的类型，内容没有进行严格的过滤，检查，导致攻击者可以通过上传木马获取服务器的webshel​​l权限，因此文件上传扩展带来的危害常常是毁灭性的。文件上传漏洞的利用条件：能够成功上传...

File Inclusion，意思是文件包含（漏洞），是指当服务器开启llow_url_include选项时，就可以通过php的某些特性函数（include()，require()和include_once()，require_once()）利用url去动态包含文件，此时如果没有对文件来源进行严格审查，就会导致任意文件读取或者任意命令执行。文件包含漏洞分为本地文件包含漏洞与远程文件包含漏洞，远...

各位小伙伴，年底比较忙，直到今天我才有时间继续学习新内容。今天我们继续学习Command Injection，翻译为中文就是命令行注入。是指通过提交恶意构造的参数破坏命令语句结构，从而达到执行恶意命令的目的。在OWASP TOP 10中一种存在注入漏洞，最常见的就是SQL和命令行注入。PHP开发的系统中存在命令注入漏洞，也是PHP应用程序中常见的脚本漏洞之一，国内著名的Web应用程序Discuz!...