- 博客(648)
- 资源 (20)
- 收藏
- 关注
RSS订阅原创 2024年开工大吉,应用安全路在何方
2024年春节后,企业正式上班开工了。企业开始规划新的一年该如何运营了。走过了内卷的2023年,2024年企业该何去何从呢?应用安全行业有一个特点,企业基本上都是至少以一款产品为主,代理一些其它公司产品,为企业提供产品+服务形势。通过Gartner预测,2024年人工智能将会在安全行业得到比较深入的应用。那对我们应用安全行业有什么指导和借鉴作用呢?
2024-02-19 11:16:05
1137
原创 Gartner 2024年十大战略技术趋势解读
最近Gartner发布了2024年十大战略技术趋势报告,这十大技术趋势中有七项是关于AI技术及其技术应用相关,我们做一个简单解读。
2024-02-07 12:04:19
755
原创 大模型训练折戟之路
看了很多大模型平台,基本上这些平台都开源了模型建立过程,训练和微调数据等整个过程和脚本在github上描述的也比较详细,很多AI人员也分享了很多模型训练过程。经过多次比较选择,感觉还是LLaMA还是比较好,称为羊驼,国内在这个模型基础上,增强了中文能力,考虑到租用GPU成本问题,采用7B模型。
2024-01-19 12:37:20
1042
原创 试用清华Chatglm智能体
清华AI平台,感觉在见过的国内AI平台中做的是比较优秀的,目前该平台提供的智能体功能感觉更智能或者说更傻瓜式一些。定义可以定义专属智能体,这些智能体是自己想要的网络上的汇集处理后的信息,或者是绘画或者是编写某个方面的代码等等,简单理解是上述这样。在这个修改后的版本中,我使用了strcpy和memcpy来复制字符串和数据,并且在分配内存失败时进行了适当的错误处理。其回答是长文本,非常全面。我百度了一下,该安全漏洞检索信息非常少,因为智能体是从网络获取的搜索结果的聚合,应该是没有POC,也就是算零day漏洞。
2024-01-16 17:29:52
965
原创 借助AI进行代码审计
最近做代码审计,由于代码量较大,对于一些缺陷涉及到较长的代码片段或复杂的代码时,我会借助AI工具进行分析和确认,的确加快了代码审计的速度。
2024-01-16 16:07:10
1757
原创 使用AI平台处理训练和微调数据
Llama.cpp是Georgi Gerganov 基于 Meta 的 LLaMA 模型 手写的纯 C/C++ 版本,让我们实现了在笔记本电脑上部署和体验AI大模型,实现没有GPU也可以运行AI大模型。执行起来虽然比较慢,但是只能算做体验,还可以选择不同语言。某个模型使用体验不好时,还可以更换模型。同时也可以对于既有的模型合并后使用,处理能力更强。
2024-01-11 10:00:35
977
原创 喜闻蜚语获得数千万元Pre-A+轮融资
当朋友分享给我关于蜚语获得数千万元Pre-A+轮融资的消息时,我顿感这是对静态分析领域的一剂强心剂。尽管这次Pre-A+轮融资的金额并不算太多,但它标志着投资机构和市场对静态分析市场的持续看好。在这个大环境并不太乐观的时刻,这个消息给我们注入了新的希望。更为重要的是,这不仅仅是对静态分析市场的鼓舞,也为应用安全市场以及整个信息安全行业注入了一针强心剂。
2024-01-10 10:31:14
593
原创 AI数据微调找免费GPU遇阻之路
赶在如火如荼的2023 AI的尾声,开始研究AI,在了解了当前技术的发展以及试用了多个AI模型和平台之后,计划本地安装Llama.cpp,利用积累的威胁建模数据和检测规则数据进行数据微调,实现自动化威胁建模和AI静态分析。但是没有GPU,在笔记本电脑上缺少GPU,所以查了很多资料,缆车那个平台可以白嫖GPU。
2024-01-02 17:22:43
1000
原创 几款AI工具代码安全漏洞分析能力对比
这段时间研究AI平台的能力。 今天我把库博检测工具发现的一个Java安全漏洞相关代码传到几款AI工具上进行分析,看看这几款工具反馈的结果。这些工具包括ChatGPT-3.5、Forefront Claude、AIChat(组合)和清华ChatGlm。
2023-12-21 12:13:59
2279
1
原创 使用ChatGLM分析文档试用
最近了解一下Chatgpt-4到底发展到什么程度了,于是对知名的国内外几个AI平台都进行了初步试用。写几篇文章介绍一下试用心得。今天我先总结一下智谱清言,也就是国内的ChatGLM,聊天功能感觉接近Chatgpt-3.5,而我重点使用其对文档的解析和实施训练能力。
2023-12-21 10:04:26
771
翻译 从BSIMM 14看应用安全的变化和趋势
2023年12月初,新思科技发布了BSIMM 14。从报告上来看,我们能够清晰的看到2023年在软件安全领域发生的变化。
2023-12-19 12:19:48
109
翻译 保障软件供应链安全《SBOM推荐实践指南》
2023年11底,美国ODN、NSA CCC、CISA、CSCC等多个政府机构部门联合发布了《保障软件供应链安全:SBOM推荐实践指南》,《SBOM推荐实践指南》主要由ESF(Enduring Security Framework长久安全框架)小组编撰,该文件根据行业内对于SBOM的最佳实践和原则提供了非常具有建议性的指导意见,并且鼓励软件开发商和供应商共同参考,以维护和提升对软件供应链安全的认识。
2023-12-18 13:11:23
615
原创 MISRA C++ 2023发布
MISRA C++ 2023于2023年11月份MISRA 发布了最新的标准升级版本,国外SAST工具厂商跟进速度非常快,国内SAST厂商还没有一家发布支持
2023-12-17 09:36:53
930
原创 数据采集方法
数据采集过程是数据流入数据中台的关键步骤,主要通过认证鉴权、关键数据源管控、采集数据传输安全、临时数据限制、日志记录和告警等多种措施来保障采安全性。
2023-12-15 23:09:19
1073
原创 供应链安全应该掌握哪些呢
整理了供应链安全相关的内容,涵盖了普及应用安全、信息安全意识的内容,这些内容可以面向企业全部员工进行讲解。后面包括了面向开发人员、测试人员、安全人员的内容,包括应用安全开发、供应链安全。面向架构人员的架构安全内容,后面又包括了威胁建模方法及流程。面向开发人员的安全设计、代码检测/审计、编码规范、运行时缺陷和安全漏洞等讲解。Java典型安全漏洞和应用业务逻辑漏洞实例讲解,后面包括了开源治理内容等等。
2023-12-14 11:31:57
1176
原创 开源治理典型案例分享(汇编转)
当前,越来越多的企业申请通过信通院的开源治理成熟度评估和认证,获得增强级或先进级评估。这些企业包括中国工商银行股份有限公司、中国农业银行、上海浦东发展银行股份有限公司、中信银行股份有限公司、中国太平洋保险(集团)股份有限公司、招商银行股份有限公司(增强级)、西安银行股份有限公司(增强级)、宁波银行股份有限公司(增强级)、中国联合网络通信有限公司软件研究院(增强级)、中国移动通信集团有限公司等。
2023-12-11 13:13:22
1634
原创 信通院供应链安全&软件应用安全评估
近几年,信通院发布了供应链安全和软件应用安全相关的一些标准以及评估模型,同时开展企业评估认证工作。这些也正是在安全形势日益严峻,且国内企业迫切需要自己国家的安全相关标准的评估和认证,也便于对企业进行供应链安全建设、软件应用安全建设成果的评估。
2023-12-11 09:22:01
1244
转载 CNNVD安全漏洞分类(转)
我也不知道这张图从哪里来的了,也没有求证这个分类是否为CNNVD官方的,但是感觉这张图画的还是费心的,所以转发过来,因为不知道转自哪里,所以没有注明,如果有作者发给我,我这里补充上。 发在这里,是为了赚点流量票。
2023-12-09 22:23:49
239
原创 展望2024年供应链安全
2023年是开展供应链安全,尤其是开源治理如火如荼的一年,开源治理是供应链安全最重要的一个方面,所以我们从开源治理谈起。我们先回顾一下2023的开源治理情况。我们从信通院《2023年中国企业开源治理全景观察》发布的信息。信通院调研了来自七个行业、105家企业的开源软件治理能力,受到供应链安全传导的作用,2023年互联网、软件和信息服务企业均开启了开源治理活动。当然整体而言,本次调研占比较高的是金融、通信、互联网行业,以中大型企业为主。
2023-12-07 10:27:53
1927
4
原创 MISRA C++ 2008 标准解析
MISRA C++ 2008主要是功能安全,共有规则228条。划分一级分类和二级分类,按照是否强制执行分为三个类别:文档、必要和建议。文档相当于MISRA C 2008中的指令类别,大多是一些编程要求,比较难于通过SAST技术实现。
2023-12-06 09:51:17
2375
原创 Autosar标准解析
AUTOSAR联盟于2017年3月发布了新版本的AUTOSAR标准,称为”Adaptive Platform”,中文翻译为“自适应平台” 。自适应平台的API是使用C++语言实现的,也决定了C++将成为自适应平台软件的主要开发语言。
2023-12-04 14:19:11
2040
原创 MISRA C 2012 标准浅析
MISRA C 2012目前已经修订了多次,最近版本是AMD2,已经支持C11标准。MISRA主要是功能安全,而CERT C/C++则更多的关注安全威胁。MISRA C 2012:AMD2总计规则数175条,其中规则158条,指令17条。其中指令基本上是无法被SAST工具所检测分析的。175条规则中强制为15条、必要规则120条、建议规则40条。
2023-12-04 11:39:36
2891
原创 FindSecBugs支持的检测规则
很多SAST集成了FindSecBugs这个开源工具,其好处是直接对Class文件进行检测,也就是直接检测二进制问题,可以直接检测war、jar,还是非常方便的。虽然误报率较高,但是这些检测出来的安全漏洞很多是安全从业人员耳熟能详的漏洞,所以,可能感觉还不错的。
2023-12-03 11:09:09
481
原创 CWE/SANS TOP 25 2022
我整理了CWE/SANS TOP25 2022年的这25类缺陷,分类适合的开发语言,其实主要是C/C++语言的缺陷相对于Java、PHP、Python、C#等更高级的语言的不同,所以分为适合C/C++语言和其它语言。
2023-12-03 09:51:12
639
原创 Coverity支持的C/C++缺陷有那些
Synopsys,中文新思作为应用安全领域最强公司,一直占据gartner魔力象限的第一的位置,那么它的静态分析工具Coverity支持那些缺陷的检测呢?今天我简单整理了一下,并没有与其全部checker进行对齐,大家通过这些列出的缺陷,可以洞见新思在C/C++开发语言的缺陷检测方面下的功夫,覆盖了我们能想到,或者不能想到的很多类型缺陷。竞争条件(Race conditions)缺失的/不充分的恶意数据和字符串输入的验证。Microsoft COM内存泄漏。未初始化的指针/标量/数组读写。
2023-12-01 10:02:52
639
原创 Klocwork的静态属性度量有那些
前面我们介绍了Cobot、QAC、Coverity工具中的静态属性度量,今天我们了解一下Klocwork所具有的度量属性。主要包括两类,对类的度量和对方法/函数的度量。
2023-12-01 09:30:28
410
原创 国内外四款SAST工具约登指数
主要是通过Java语言基准测试案例对SAST工具进行评价。通过Yonden Index(约登指数)进行计算。约登指数等于测试的敏感性和特异性之和减掉1而得出。
2023-11-29 10:29:24
1476
原创 OWASP TOP 10 2021 对应的CWE缺陷(官方)
在OWASP TOP 10 2021年发布TOP 10中,比较好的给出了每类漏洞类型对应的CWE编号,这对于开发应用安全的厂商来说无疑是一件好事。 不过大家应该也可以看到,A1-A10都是给出了几种CWE,但是官方并没有给出比较全面的的对应关系
2023-11-28 15:46:38
1129
原创 国内哪款工具支持静态属性度量
国产工具能够给出度量指标的工具,这就是北大库博,他们支持超过30种度量指标。也是包括了函数、类、文件三个维度的度量。针对C、C++、Java语言检测时,会让用户选择是否进行度量指标检测。
2023-11-28 15:38:35
397
2023年12月初,新思科技发布了BSIMM 14 从报告上来看,我们能够清晰的看到2023年在软件安全领域发生的变化
2023-12-19
保障软件供应链安全《SBOM推荐实践指南》2023年11月发布译文
2023-12-18
Gartner 2023年7月份发布了安全运营Hype Cycle,这些资料对安全运营做了前瞻性的分析 有时间可以读读
2023-12-01
安全产品开发,经常需要整理OWASP TOP 10与CWE的映射关系,这个文件是OWASP TOP 2021与CWE的映射关系
2023-11-26
静态分析资料汇总和学习笔记
2023-03-09
静态检测工具对比表-F&CO&COV.xlsx
2022-06-25
静态分析工具对比,包括了常见静态分析工具
2022-06-25
静态程序分析(五、六):数据流分析基础理论
2022-06-19
静态程序分析(七):过程间分析
2022-06-19
Mitigating the Risk of Software Vulnerabilities by Adopting
2022-06-19
Static Program Analysis,静态程序分析
2022-06-19
2004&2007&2010&2013&2017 OWASP TOP 10.rar
2020-04-12
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人