- 博客(10)
- 资源 (20)
- 收藏
- 关注
原创 软件健康管理技术浅析
软件健康管理是近几年兴起的一个综合性研究领域,涉及到软件信息分析技术、缺陷检测技术、故障诊断技术、健康评估技术以及缺陷修复技术等多个方面。在软件研发过程中,通过对整个软件进行多维度监控、检测和分析,以提高软件运行安全性和可靠性。虽然说不同行业,对软件健康关注的角度不同,但是核心还是相同或相似的,包括软件故障模式分析、异常检测与故障诊断算法、度量分析技术以及故障修复技术等。如果对于武器装备系统软件,...
2019-06-29 19:41:09 1660
原创 安全漏洞检测工具保证程序员开发出高质量多线程代码
这是Cert Java中的一段源代码,如果是在多线程中环境中,该段代码的执行结果可能不是我们想要的结果。finalclassControlledStopimplementsRunnable {privatebooleandone =false;@Overridepublicvoidrun() {while(!done) {...
2019-06-22 18:00:16 509
原创 360公司为什么有名?商业模式不同而已
很多人曾经问,你们的工具为什么没有360有名? 这个问题,主要原因如下(个人观点,不代表公司和任何人): 首先从360公司性质来看,是一个以免费杀毒软件,颠覆了传统杀毒软件竞争对手的公司,其公司文化是以互联网的方式打败竞争对手,销售模式是互联网模式,通过建立安全生态圈,在安全行业中占据主要市场。 其次,为什么360出名?360是以免费杀毒软件占用了国内杀毒软件的几乎所有终端用...
2019-06-16 14:14:02 562
原创 Centos 7 docker 安装代码检测工具Sonarqube和Cppcheck
各位朋友,下面我Centos 7 docker 安装代码检测工具Sonarqube和cppcheck等过程放在这里,供大家参考。首先安装CentOs 7:docker pull Jenkins/jenkins:ltsmkdir /home/jenkins修改目录执行权限chown -R 1000:1000 jenkins/ 给uid为1000的权限ls -nd ...
2019-06-16 12:20:24 1695
原创 跟测试老兵3天成为APP高手(三)
(十四)安装Python的基础包工具setuptools一种安装方法:C:\Users\IBM\AppData\Local\Programs\Python\Python37\Lib\test\libregrtest\setup.py install另一种是下载安装的exe文件,默认安装Python37\Lib\site-packages下面(十五)检查安装selenium 和se...
2019-06-12 22:35:14 579
原创 OWASP top10分类解析之Weak Cryptography (crypto) 弱密码
弱密码主要是由于系统或用户的密码没有达到一定的复杂程度的密码或使用较弱的加密算法产生的密码,恶意攻击者可以通过猜测、彩虹表、cookie、配置文件、注册表、网络截获等手段可以破解的密码。 CWE-261对应该类缺陷,对应OWASP 2004年十大类别A8-不安全存储,SFP二级集群的弱密码学。这些涉及到凭证管理、不受保护的凭证存储、配置文件中的空密码、使用硬编码密码、...
2019-06-12 18:06:37 762
原创 跟测试老兵3天成为APP高手(二)
今天继续第二天的分享。(六)ADB安卓调试桥使用ADB的全称为Android Debug Bridge,安卓调试桥。如安装软件、卸载软件、系统升级、运行shell命令等。adb就是连接Android手机与PC端的桥梁。可以单独从官网(developer.android.com)下载安装,也可以通过SDK manager安装。安装后,在platform-tools目录中。使用真机或仿...
2019-06-11 22:53:54 1033
原创 跟测试老兵3天成为APP高手(一)
APP自动化测试在面试中的比重还是很大,其实APP自动化测试本身不难,大多数刚刚接触APP自动化测试的朋友常常被多种APP自动化测试工具搞晕,其实只要掌握了自动化测试的本质、工具的原理,在面试和工作中就能游刃有余。掌握工具原理,才能真正搞明白工具怎么一会事,面试官会问哪些问题。当然要拿到大厂的offer,还是需要下功夫把东西学深入的,三天搞懂,个三天你能成为专家,大厂测试专家问...
2019-06-10 22:17:52 2469
原创 国内源代码安全漏洞检测工具现状浅析
在静态源代码检测工具方面,国内很多公司在研发产品,包括北大软件CoBOT、奇虎测腾的代码卫士、360企业代码卫士、清华大学软件学院Tsmart代码分析工具集、腾讯TscanCode开源静态扫描工具,端玛企业级静态源代码扫描分析平台DMSCA、找八哥源代码安全检测系统等。 知名度比较高的可能是360的代码卫士,借助其公司品牌和免费杀毒软件等宣传,行业内知名度较高,但是工...
2019-06-08 09:29:48 7546
原创 源代码静态检测分析技术浅析
目前,基于源代码静态检测分析技术,运用越来越广,那么源代码安全检测的技术主要有哪些呢?下面我结合源代码静态分析的发展,技术特点,来分析四种相关技术:数据流和模式匹配技术 符号执行的分析技术 抽象解释的分析方法 值流分析为主的分析方法 数据流和模式匹配分析技术早期静态分析工具经常采用的技术,包括达到定值分析、支配分析、活跃变量分析、静态单赋值技术等,这类分析技术...
2019-06-06 10:34:38 3412 3
2023年12月初,新思科技发布了BSIMM 14 从报告上来看,我们能够清晰的看到2023年在软件安全领域发生的变化
2023-12-19
保障软件供应链安全《SBOM推荐实践指南》2023年11月发布译文
2023-12-18
Gartner 2023年7月份发布了安全运营Hype Cycle,这些资料对安全运营做了前瞻性的分析 有时间可以读读
2023-12-01
安全产品开发,经常需要整理OWASP TOP 10与CWE的映射关系,这个文件是OWASP TOP 2021与CWE的映射关系
2023-11-26
静态分析资料汇总和学习笔记
2023-03-09
静态检测工具对比表-F&CO&COV.xlsx
2022-06-25
静态分析工具对比,包括了常见静态分析工具
2022-06-25
静态程序分析(五、六):数据流分析基础理论
2022-06-19
静态程序分析(七):过程间分析
2022-06-19
Mitigating the Risk of Software Vulnerabilities by Adopting
2022-06-19
Static Program Analysis,静态程序分析
2022-06-19
2004&2007&2010&2013&2017 OWASP TOP 10.rar
2020-04-12
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人