安全性(security)度量

最新推荐文章于 2024-02-20 17:33:25 发布
最新推荐文章于 2024-02-20 17:33:25 发布
阅读量1.6k 收藏
点赞数
分类专栏: 代码安全 文章标签: 安全度量 安全静态度量 AFP 代码质量

安全性度量作为CISQ进行代码度量的4个指标之一,可以通过22个弱点进行度量。

本文件介绍了CISQ自动化质量特性安全措施中包含的22个弱点的描述。这些描述已经简化,从它们在出版OMG规范中的描述来看,这些描述是用其他OMG Meta-Models的形式来具体说明机器可处理XMI Notation中的代表性不足。

下表给出了每个缺陷及其唯一的CISQ标识符、简短的描述性名称以及作为补救建议的缺陷的更完整描述。

 

安全弱点

一种度量软件包含的弱点在多大程度上可被利用,以获得对系统的未经授权的访问,从而窃取数据、造成损害或其他恶意行为。

  1. 不正确的路径遍历
  2. OS命令注入
  3. XSS攻击
  4. SQL注入
  5. 污染的用户输入存取资源
  6. 缓冲区溢出
  7. 未检查数据越界
  8. 不正确的格式化字符串
  9. 未检查返回的资源操作参数
  10. 未经审查的加密算法
  11. 捕获过于广泛的异常类型
  12. 抛出异常类型过于广泛
  13. 上传语句中存在污染的用户数据
  14. 污染的数据元素
  15. 未检查循环条件
  16. 不正确的资源共享锁
  17. 存取已释放或过期的资源
  18. 不兼容的数据类型转换
  19. 未释放资源
  20. 未检查用户输入缓冲区数据范围
  21. 远程资源的硬编码凭据
  22. 无限递归

 

 

 

manok
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
计算机网络安全指标详述
yyj173637的博客
04-14 1520
通俗地说,网络信息安全与保密主要是指保护网络信息系统,使其没有危险、不受威胁、不出事故。从技术角度来说,网络信息安全与保密的目标主要表现在系统的等方面。可靠性是网络信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。可靠性是系统安全的最基于要求之一,是所有网络信息系统的建设和运行目标。网络信息系统的可靠性测度主要有三种:抗毁性、生存性和有效性。抗毁性是指系统在人为破坏下的可靠性。比如,部分线路或节点失效后,系统是否仍然能够提供一定程度的服务。
安全可信基础知识介绍初稿发布
01-31
6. **Hygon的安全可信机制**:Hygon(海光)是中国的处理器制造商,其产品也强调安全性和可信性,可能采用了类似于AMD的硬件安全技术,比如PSP,以确保平台的安全运行。 7. **启动度量**:启动度量是指在系统启动...
安全工作度量指标说明.docx
04-24
安全工作度量指标说明,
【网络安全】网络安全漏洞管理十大度量指标
最新发布
A1_3_9_7的博客
02-20 956
当前,网络安全漏洞所带来的风险及产生的后果,影响到网络空间乃至现实世界的方方面面,通信、金融、能源、电力、铁路、医院、水务、航空、制造业等行业各类勒索、数据泄露、供应链、钓鱼等网络安全攻击事件层出不穷。因此,加强对漏洞管理的迫切性、重要性日趋突出。国家层面已经出台相关法律法规、标准规范,通信、金融等行业层面出台监管规定、管理规范,企业层面也正在逐步形成漏洞管理相关制度。
网络安全漏洞管理十大度量指标
网络安全
11-15 4542
当前,网络安全漏洞所带来的风险及产生的后果,影响到网络空间乃至现实世界的方方面面,通信、金融、能源、电力、铁路、医院、水务、航空、制造业等行业各类勒索、数据泄露、供应链、钓鱼等网络安全攻击事件层出不穷。因此,加强对漏洞管理的迫切性、重要性日趋突出。国家层面已经出台相关法律法规、标准规范,通信、金融等行业层面出台监管规定、管理规范,企业层面也正在逐步形成漏洞管理相关制度。
安全度量标准
cnbird's blog
11-18 2232
1. 漏洞风险管理度量 a.漏洞级别 b.漏洞依然存在的数量 c. 漏洞修复时间 d.漏洞所占比重 e.映射漏洞对应的OWASP TOP 10或者CWE的种类   2、安全事件度量 a,安全事件影响范围 b.发现跟踪处理时间的时间 c.受影响主机的下线时间 d.受影响主机的数量 e.安全事件发生的概率 f.安全事件类型 g.安全事件级别 i.安全事件通报率 h.安全
Enterprise Security Manager产品技术白皮书
03-04
产品允许组织从单一控制台定义、度量和报告信息系统与安全政策、标准以及政府法规的符合性。 该产品的一个关键特性是与Symantec Security Management Solution的集成,这使得组织可以将安全策略的合规性数据与来自...
System security requirements and security levels
06-03
这些系统对安全性有着极高的要求,任何安全漏洞都可能导致灾难性的后果。 在系统安全需求方面,文档强调了识别系统潜在威胁的重要性。系统架构师需要分析可能遭受的攻击类型,并据此设计相应的安全措施。这通常包括...
Network Security Metrics
06-02
网络安全是一个复杂而多面的领域,随着计算机网络在许多关键基础设施中扮演着越来越重要的角色,其安全性变得越发重要。Lingyu Wang、Sushil Jajodia和Anoop Singhal三位专家合作撰写的《网络安全部量》一书,全面而...
CISQ代码质量度量标准
01-19
《CISQ代码质量度量标准》是软件质量协会推出的一套权威的代码质量衡量体系,旨在提升软件的可靠性和可维护性,优化性能效率,保障安全性。这一标准分为四个核心方面,每一方面都对软件开发过程中的不同维度进行了...
实用软件度量
10-24
Practical Software Measurement : Objective Information for Decision Makers. John McGarry, David Card, Chery Jones, Beth Layman, Elizabeth Clark, Joseph Dean, Fred Hall. Addison Wesley. 2003.
真正有用的四大安全指标
weixin_33958366的博客
08-01 383
随着安全问题越来越多的受到董事会和管理层的关注,不仅管理层需要各种指标以得到对安全态势更为清晰的视角,安全专业人士也逐渐被要求提供一些可以跟踪公司当前防御状态的各项指标。但,哪些数字才是真正有用的呢? 通常情况下,高级管理层不太清楚该过问哪类问题,还可能会太过关注预防而疏于减轻损失。类似响应安全事件的平均费用或是防火墙阻止了多少次攻击这样的指标对非安全...
开发 Leader 们最该了解的软件度量指标
讨论软件开发加速、持续集成/持续交付(CI/CD)、C++、开发者生产力以及所有相关话题。
04-21 672
无论何时,只要是要评估或对比某些东西,就需要使用度量指标。它们是可量化的衡量标准,用于判断每个行业的进展。这其中包括软件开发,在该领域,开发负责人依靠软件度量指标来跟踪性能和生产。 在我们关于如何衡量和提高开发人员工作效率的博客文章中,我们讨论了代码度量指标在衡量和提高开发人员工作效率方面的作用。其中一个挑战就是在适当的时候为适当的工作选择适当的度量指标,本文将帮助您了解需要了解的内容。
安全自动化和IACD框架
Ds的博客
01-11 1018
自动化 美国网络安全 | 安全自动化和IACD框架 安全自动化是安全从业者的梦想。安全主要解决两方面问题:时间问题(速度越来越快)和空间问题(规模越来越大)。安全归根结底是要在时间和空间这两个维度上,提高自动化防御的有效性。 安全自动化开始,深入到它的理论和实现框架IACD(集自适应网络防御)和ICD(集成网络防御)的细节,最后引出安全度量的问题 经过Gartner和业界的宣传,SOAR(安全编排、自动化和响应)作为安全自动化的实现技术,已经广为人知。如果非要说说IACD与SOAR的区别,笔者认为,SOAR
代码静态分析度量安全性小析
manok的专栏
05-06 912
业界对于代码安全性度量一直没有标准。Testbed没有该指标,testbed只有清晰性、可维护性、可测试性以及三者综合指标。 Sonarqube中的代码安全度量: 原文: 根据结合上述以及相关资料对代码安全度量方法,我对通过静态分析结果度量代码安全性进行了简单设计如下: 1、NNV,Number of new vulnerabilities,每次提交后检测发现的漏洞数量 新提交...
度量安全-Making Security Measurable
lxd121的专栏
05-29 1173
这是美国MITRE公司提出的信息安全标准化活动,该公司主要为政府部门提供咨询服务,安全界著名的漏洞库CVE-ID就是由它维护的。此活动的官方网站是http://measurablesecurity.mitre.org/MITRE推动安全量化的目的我还不知道,但它的方法是:1. 枚举enumerating基础安全数据;2.提供标准化语言language用于准确地信息交换;3.通过
第一章 CIS 安全基准-kube-beach
三成的博客
11-04 497
k8s安全
Linux安全性
yukun04的博客
09-26 1135
Linux安全系统的核心是用户账户
Linux相关的系统安全
生而无畏,战至终章
09-24 1011
前言: Linux是企业中服务器常用到的系统,他的安全则显得尤为重要,因此维护Linux系统的安全与应用是一项重大的项目; 基本的系统安全为物理安全和登入安全,包括:禁用root登录和sudo,可插拔认证模块(PAM)等; 一、账号安全的控制: 1、系统账号清理: (1)将非登录用户的Shell设为/sbin/nologin; 如:usermod -s/sbin/nologin 系统账号的shell使用 /sbin/nologin ,此时无法登陆系统,即使给了密码也不行。 (2)..
IT服务可用性管理实践与度量
6. 安全Security):保护系统免受未经授权访问或损害的能力。 7. 关键业务职能(Vital Business Function - VBF):对业务至关重要的系统或服务功能。 不可用性生命周期包括突发事件的发生,其中平均恢复时间...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值