自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(22)
  • 资源 (20)
  • 收藏
  • 关注

原创 如何做到既不减少生产力又能实施软件QA过程?


 How can Software QA processes be implemented without reducing productivity? By implementing QA processes slowly over time, using consensus to reach agreement on processes, focusing ...

2006-04-23 11:20:34 106

原创 如何做到既不减少生产力又能实施软件QA过程?_manok_新浪博客

How can Software QA processes be implemented without reducing productivity? By implementing QA processes slowly over time, using consensus to reach agreement on processes, focusing on processes...

2006-04-23 11:20:34 77

原创 刚上班,近来忙了

    刚上班,比较忙,所以没有更新了。请大家原谅。
    等几天,在公司事情少了,到家也有心情写blog了。

2006-04-18 21:29:24 228 1

原创 刚上班,近来忙了_manok_新浪博客

刚上班,比较忙,所以没有更新了。请大家原谅。 等几天,在公司事情少了,到家也有心情写blog了。

2006-04-18 21:29:24 42

原创 假如应用程序的功能没有在需求中定义怎么办?


 What if the application has functionality that wasn't in the requirements? It may take serious effort to determine if an application has significant unexpected or hidden functionali...

2006-04-11 09:44:22 120

原创 假如应用程序的功能没有在需求中定义怎么办?_manok_新浪博客

What if the application has functionality that wasn't in the requirements? It may take serious effort to determine if an application has significant unexpected or hidden functionality, and it c...

2006-04-11 09:44:22 140

原创 假如需求不断改变时该如何处理呢?

What can be done if requirements are changing continuously? This is a common problem for organizations where there are expectations that requirements can be pre-determined and remain stabl...

2006-04-10 20:42:23 312

原创 假如需求不断改变时该如何处理呢?_manok_新浪博客

What can be done if requirements are changing continuously? This is a common problem for organizations where there are expectations that requirements can be pre-determined and remain stable. If th...

2006-04-10 20:42:23 100

原创 时间

    从二月8号离职到现在已经两个月了,时间过得真是很快。不过也马上就上班了,感谢关心我的朋友,特别是在我在家待业期间给予我鼓励的朋友,在这两个月中,我学习了很多东西,提高了自己,也面试了几家公司,使我对做很多公司中测试工作情况有了了解,而我最终选择的公司可能是我原来都没有想到会去的。在家休息和调整了两个月,马上就要按照时间每天上、下班了,估计也需要一段时间适应了。我...

2006-04-09 22:22:11 78 1

原创 时间_manok_新浪博客

从二月8号离职到现在已经两个月了,时间过得真是很快。不过也马上就上班了,感谢关心我的朋友,特别是在我在家待业期间给予我鼓励的朋友,在这两个月中,我学习了很多东西,提高了自己,也面试了几家公司,使我对做很多公司中测试工作情况有了了解,而我最终选择的公司可能是我原来都没有想到会去的。在家休息和调整了两个月,马上就要按照时间每天上、下班了,估计也需要一段时间适应了。我想在这个新的岗位...

2006-04-09 22:22:11 66

原创 谁决定软件发布的时间?


 Who should decide when software is ready to be released? In many projects this depends on the release criteria for the software. Such criteria are often in turn based on the decisio...

2006-04-06 10:08:00 443

原创 谁决定软件发布的时间?_manok_新浪博客

Who should decide when software is ready to be released? In many projects this depends on the release criteria for the software. Such criteria are often in turn based on the decision to end tes...

2006-04-06 10:08:00 188

原创 谁应该负责风险管理?

Who is responsible for risk management? Risk management means the actions taken to avoid things going wrong on a software development project, things that might negatively impact the quali...

2006-04-05 11:28:57 295

原创 谁应该负责风险管理?_manok_新浪博客

Who is responsible for risk management? Risk management means the actions taken to avoid things going wrong on a software development project, things that might negatively impact the quality, time...

2006-04-05 11:28:57 109

原创 第一道题目的解答参考

第一道题目我给出的参考:
 
#include <stdio.h>
int atoi(char *str){ int Num=0; int stolen=+1;
 if( *str=='-' ) {  stolen = -1;  str++; } else if( *str=='+' ) {  stolen = +1;  ...

2006-04-05 09:37:33 127

原创 第一道题目的解答参考_manok_新浪博客

第一道题目我给出的参考:#include <stdio.h>int atoi(char *str){int Num=0;int stolen=+1;if( *str=='-' ){stolen = -1;str++;}else if( *str=='+' ){stolen = +1;str++;}for ( Num= 0...

2006-04-05 09:37:33 67

原创 微软招聘测试工程师的两道题目

    这两道题目是在NetLiving上,由微软的技术人员给出的题目:&#13;1、写出函数atoi()的实现;&#13;2、有一个函数a(char b1[],char b2[]); 要求从b1字符串中删除b2字符串中含有字符,要求用你认为最高效的方法。例如: b1=I am boy. b2=bo  则结果,b1=I am y. &#13; &#13;如果作为测试...

2006-04-05 08:17:48 131

原创 微软招聘测试工程师的两道题目_manok_新浪博客

这两道题目是在NetLiving上,由微软的技术人员给出的题目:1、写出函数atoi()的实现;2、有一个函数a(char b1[],char b2[]); 要求从b1字符串中删除b2字符串中含有字符,要求用你认为最高效的方法。例如: b1=I am boy. b2=bo 则结果,b1=I am y. 如果作为测试工程师,你能答出这两道题目吗?有兴趣可以谈论...

2006-04-05 08:17:48 90

原创 为什么对一个组织来说实施质量保证常常比较困难?

 Why is it often hard for organizations to get serious about quality assurance? Solving problems is a high-visibility process; preventing problems is low-visibility. This is illustrated by...

2006-04-04 10:22:23 128

原创 为什么对一个组织来说实施质量保证常常比较困难?_manok_新浪博客

Why is it often hard for organizations to get serious about quality assurance? Solving problems is a high-visibility process; preventing problems is low-visibility. This is illustrated by an old ...

2006-04-04 10:22:23 51

原创 好几天没有来了

  这些天事情比较多,也没有来维护blog了。在工作没有确定之前,还没有太多的心情来做这个事情,加上很多同行没有进行交流,让我慢慢失去了维护的乐趣,我维护blog的初衷也是很想与同行进行交流。我这些天工作的事情比较多,有的一面、有的二面...,原来计划在4月1日上班的想法也没有实现,所以还是比较着急,自己上了两个月的保险了,费用还是蛮多的,争取在4月10日上班吧,这个时候...

2006-04-04 08:54:56 93

原创 好几天没有来了_manok_新浪博客

这些天事情比较多,也没有来维护blog了。在工作没有确定之前,还没有太多的心情来做这个事情,加上很多同行没有进行交流,让我慢慢失去了维护的乐趣,我维护blog的初衷也是很想与同行进行交流。我这些天工作的事情比较多,有的一面、有的二面...,原来计划在4月1日上班的想法也没有实现,所以还是比较着急,自己上了两个月的保险了,费用还是蛮多的,争取在4月10日上班吧,这个时候应该能够确定了。...

2006-04-04 08:54:56 42

AI的发展,2024年你的业务在哪里

AI的发展,2024年你的业务在哪里

2024-01-25

2023年12月初,新思科技发布了BSIMM 14 从报告上来看,我们能够清晰的看到2023年在软件安全领域发生的变化

2023年12月初,新思科技发布了BSIMM 14。从报告上来看,我们能够清晰的看到2023年在软件安全领域发生的变化。这个资源是翻译的全部资料,需要的请下载。

2023-12-19

保障软件供应链安全《SBOM推荐实践指南》2023年11月发布译文

2023年11底,美国ODN、NSA CCC、CISA、CSCC等多个政府机构部门联合发布了《保障软件供应链安全:SBOM推荐实践指南》,《SBOM推荐实践指南》主要由ESF(Enduring Security Framework长久安全框架)小组编撰,该文件根据行业内对于SBOM的最佳实践和原则提供了非常具有建议性的指导意见,并且鼓励软件开发商和供应商共同参考,以维护和提升对软件供应链安全的认识。

2023-12-18

Gartner 2023年7月份发布了安全运营Hype Cycle,这些资料对安全运营做了前瞻性的分析 有时间可以读读

Gartner 2023年7月份发布了安全运营Hype Cycle,这些资料对安全运营做了前瞻性的分析。有时间可以读读。

2023-12-01

安全产品开发,经常需要整理OWASP TOP 10与CWE的映射关系,这个文件是OWASP TOP 2021与CWE的映射关系

不管是做网络安全产品研发,还是应用安全产品开发,经常需要整理OWASP TOP 10与CWE的映射关系,这个文件是OWASP TOP 2021与CWE的映射关系,花费很长时间梳理的这张映射表啊,而OWASP TOP10 从2021年发布中,开始包括了与CWEDE 映射关系,但是给出的只是一些具有代表性的CWE编号。这张表很全。

2023-11-26

是Synopsys也就是新思的检测器,开发SAST工具的朋友都知道的

这是宝贵资源,请且下载且珍惜

2023-10-01

汽车领域的C/C++编码规范

汽车领域的C/C++编码规范,越来越多的汽车生产企业遵守该规范

2023-09-28

静态分析资料汇总和学习笔记

这个笔记是我从事SAST、SCA等软件应用安全领域工作多年整理的资料,包括有博士的,有南京大学的,有自己百度后整理的资料,对于从事静态分析的研发人员,测试人员,售前和售后人员都有很大裨益。 主要SAST相关资料。

2023-03-09

静态检测工具对比表-F&CO&COV.xlsx

对Fortify SCA、Covertity、CodeSec三款静态分析工具进行对比的文件。包括误报率、漏报率、检测效率、对第三方组件检测支持能力、支持CI能力、编译环境等

2022-06-25

静态分析工具对比,包括了常见静态分析工具

包括了Testbed、C++ test、Fortify、Klocwork、Coverity、Checkmarx、SonarQube、代码卫士、Cobot。对比项包括了厂家名称、所属国家、安装OS、检测引擎、架构、跨文件分析能力、检测器类型支持、规则定制支持能力、静态度量、运行缺陷检测能力、安全漏洞检测能力、支持的检测语言、误报率、漏报率、检测效率、检测报告、接口、二次开发SDK、是否支持CI/CD等等。

2022-06-25

COBOT与Jenkins集成的详细资料

cobot与Jenkins集成的材料,介绍的非常详细,欢迎查看。

2022-06-25

COBOT和其他工具对比.pdf

这是2021年Cobot与其它工具的对比资料

2022-06-20

静态源代码安全检测工具比较.pdf

对Fortify SCA、Checkmarx、CodeSecure 三款工具进行对比。

2022-06-20

不同企业,SDL差异几何——不同企业的SDL建设Roadmap分析4.10.pdf

不同企业的SDL建设Roadmap分析

2022-06-20

CppCheck扫描规则

这是CppCheck工具的检测规则,中英文。

2022-06-19

静态程序分析(五、六):数据流分析基础理论

一、迭代算法 Iterative Algorithm Data Flow Analysis Foundations,数据流分析基础理论。掌握数据流分析 基础理论,才能自如的设计数据流分析算法来解决特定的静态分析问题。 下图是一个通用的数据流分析迭代算法,采用前向数据流,它用来得到一个 数据流问题的解 给定一个含有 k 个节点的程序 CFG,迭代算法每次迭代时更新每个 CFG 节点 的输出信息,即 OUT[n]。 假设数据流分析中数据 data facts 的集合是 V,这里的数据是指我们分析 问题的数据,数据的 domain 就是这些数据抽象值的域。比如,我们在分析到达 定值这个具体数据流问题时,V 就是程序所有变量的集合,domain 就是程序中所 有的变量可能取得的抽象值的集合{0,1}。再如,常量传播例子中,分析的数据 data facts 集合 V 就是程序中所有的变量,v 的 domain 就是{未定义、不是常 量、0、1、2、1.2、...} ,这个 domain 就是无穷的,因为作为常量可是任何数。 在到达定值中,我们用一个 bit vector 来表示节点的输出数据作为

2022-06-19

静态程序分析(七):过程间分析

一、为什么需要过程间分析 前面的数据流分析学习中,我们接触到的都是过程内 intraprocedural 的分析,在过程内 分析遇到函数调用如何处理的呢? 在过程内分析的情况下,对函数调用的通常的做法是:对方法的调用做最保守的估计, 认为方法调用可以做任何事情,以确保安全近似,举例如下: 对于常量传播的例子来说,如下程序片段: 过程内分析不对函数调用进行处理,在 foo()中对函数 bar()时,静态分析认为 bar()函数 输入的参数是任何值,所以 x = NAC,y=NAC,foo 函数中调用 bar 后的返回值也认为是任何 值,所以 n = NAC。而实际的运行情况来看,n 的值是 10,x 就是 42,y 就是 43。过程内分 析丢失了精度。 为提高分析的精度,就需要进行过程间的分析,数据流通过过程间的控制流边进行传递, 如下图所示:

2022-06-19

Mitigating the Risk of Software Vulnerabilities by Adopting

Mitigating the Risk of Software Vulnerabilities by Adopting a Secure Software Development Framework (SSDF)。 Donna Dodson Applied Cybersecurity Division Information Technology Laboratory Murugiah Souppaya Computer Security Division Information Technology Laboratory Karen Scarfone Scarfone Cybersecurity Clifton, VA April 23, 2020

2022-06-19

Static Program Analysis,静态程序分析

Anders Møller and Michael I. Schwartzbach February 10, 2022 这是最新的程序分析技术资料,2022年的。

2022-06-19

2004&2007&2010&2013&2017 OWASP TOP 10.rar

压缩包中包括OWASP top10 从2004年、2007年、2010年、2013年和2017年5次发布的OWASP top 10,是研究网络安全的好材料。

2020-04-12

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除