- 博客(619)
- 资源 (20)
- 收藏
- 关注
RSS订阅
原创 不管SDLC还是Devops,请把好安全质量门
微软自2004年就采用SDL(Security Development Lifecycle),即安全开发生命周期。后面很多安全企业提出S-SDLC(Secure Software Development Lifecycle)。这个概念也是被安全行业的公益组织OWASP所支持。安全中的SDLC就是指将原来集中在软件开发生命周期后期进行的工作,放到软件开发生命周期各个阶段去,在每个阶段做...
2020-03-13 17:45:39
7298
原创 《GB/T 34943-2017语言源代码漏洞测试规范》简单解读
这几天正在了解GB/T 34943-2017 C/C++语言源代码漏洞测试规范。该标准是2017年11月1日发布,2018年5月1日正式实施的国家标准。该标准是中华人民共和国国家质量监督检验检疫总局和中国国家标准化管理委员会联合发布。该标准起草时,按照GB/T 1.1-2009给出的规则起草的。该标准主要起草单位有珠海南方软件网络评测中心、珠海中惠微电子有限公司等10家单位联合起草的...
2020-03-12 17:25:37
1957
原创 浅谈DevSecOps工具链中的源代码安全保障
近期,很多企业开始关注DevSecOps,下面根据作者对其理解,简单分析一下在DevSecOps的源代码安全该如何考虑和建设。主要分5部分:1、DevSecOps建设的背景和目的2、安全才是提升研发交付质量的第一要素3、安全自动化是安全交付的保障4、企业如何实施DevSecOps5、企业落实DevSecOps的动力正文:1 DevSecOps建设的背景和目的随着...
2020-02-11 18:08:16
1879
原创 再借你一双慧眼 识别强大的代码安全审计工具
今天,我还是分析一款强大的代码安全审计工具到底应该什么样?还是以OWASP Benchmark的Java案例作为例子进行分析。Benchmark中2740个包含真假漏洞的案例中,分为10类,例如SQL注入、命令行注入、弱密码、弱哈希等等。下面我以其中三个类别的真假漏洞作为例子,进行分析。先看SQL注入,我从其中选择了一个具有代表性的案例,BenchmarkTest00105.j...
2019-12-31 07:42:09
618
原创 2024年开工大吉,应用安全路在何方
2024年春节后,企业正式上班开工了。企业开始规划新的一年该如何运营了。走过了内卷的2023年,2024年企业该何去何从呢?应用安全行业有一个特点,企业基本上都是至少以一款产品为主,代理一些其它公司产品,为企业提供产品+服务形势。通过Gartner预测,2024年人工智能将会在安全行业得到比较深入的应用。那对我们应用安全行业有什么指导和借鉴作用呢?
2024-02-19 11:16:05
1055
原创 Gartner 2024年十大战略技术趋势解读
最近Gartner发布了2024年十大战略技术趋势报告,这十大技术趋势中有七项是关于AI技术及其技术应用相关,我们做一个简单解读。
2024-02-07 12:04:19
573
原创 大模型训练折戟之路
看了很多大模型平台,基本上这些平台都开源了模型建立过程,训练和微调数据等整个过程和脚本在github上描述的也比较详细,很多AI人员也分享了很多模型训练过程。经过多次比较选择,感觉还是LLaMA还是比较好,称为羊驼,国内在这个模型基础上,增强了中文能力,考虑到租用GPU成本问题,采用7B模型。
2024-01-19 12:37:20
909
原创 试用清华Chatglm智能体
清华AI平台,感觉在见过的国内AI平台中做的是比较优秀的,目前该平台提供的智能体功能感觉更智能或者说更傻瓜式一些。定义可以定义专属智能体,这些智能体是自己想要的网络上的汇集处理后的信息,或者是绘画或者是编写某个方面的代码等等,简单理解是上述这样。在这个修改后的版本中,我使用了strcpy和memcpy来复制字符串和数据,并且在分配内存失败时进行了适当的错误处理。其回答是长文本,非常全面。我百度了一下,该安全漏洞检索信息非常少,因为智能体是从网络获取的搜索结果的聚合,应该是没有POC,也就是算零day漏洞。
2024-01-16 17:29:52
869
原创 借助AI进行代码审计
最近做代码审计,由于代码量较大,对于一些缺陷涉及到较长的代码片段或复杂的代码时,我会借助AI工具进行分析和确认,的确加快了代码审计的速度。
2024-01-16 16:07:10
893
原创 使用AI平台处理训练和微调数据
Llama.cpp是Georgi Gerganov 基于 Meta 的 LLaMA 模型 手写的纯 C/C++ 版本,让我们实现了在笔记本电脑上部署和体验AI大模型,实现没有GPU也可以运行AI大模型。执行起来虽然比较慢,但是只能算做体验,还可以选择不同语言。某个模型使用体验不好时,还可以更换模型。同时也可以对于既有的模型合并后使用,处理能力更强。
2024-01-11 10:00:35
908
原创 喜闻蜚语获得数千万元Pre-A+轮融资
当朋友分享给我关于蜚语获得数千万元Pre-A+轮融资的消息时,我顿感这是对静态分析领域的一剂强心剂。尽管这次Pre-A+轮融资的金额并不算太多,但它标志着投资机构和市场对静态分析市场的持续看好。在这个大环境并不太乐观的时刻,这个消息给我们注入了新的希望。更为重要的是,这不仅仅是对静态分析市场的鼓舞,也为应用安全市场以及整个信息安全行业注入了一针强心剂。
2024-01-10 10:31:14
568
原创 AI数据微调找免费GPU遇阻之路
赶在如火如荼的2023 AI的尾声,开始研究AI,在了解了当前技术的发展以及试用了多个AI模型和平台之后,计划本地安装Llama.cpp,利用积累的威胁建模数据和检测规则数据进行数据微调,实现自动化威胁建模和AI静态分析。但是没有GPU,在笔记本电脑上缺少GPU,所以查了很多资料,缆车那个平台可以白嫖GPU。
2024-01-02 17:22:43
942
原创 几款AI工具代码安全漏洞分析能力对比
这段时间研究AI平台的能力。 今天我把库博检测工具发现的一个Java安全漏洞相关代码传到几款AI工具上进行分析,看看这几款工具反馈的结果。这些工具包括ChatGPT-3.5、Forefront Claude、AIChat(组合)和清华ChatGlm。
2023-12-21 12:13:59
1849
1
原创 使用ChatGLM分析文档试用
最近了解一下Chatgpt-4到底发展到什么程度了,于是对知名的国内外几个AI平台都进行了初步试用。写几篇文章介绍一下试用心得。今天我先总结一下智谱清言,也就是国内的ChatGLM,聊天功能感觉接近Chatgpt-3.5,而我重点使用其对文档的解析和实施训练能力。
2023-12-21 10:04:26
560
翻译 从BSIMM 14看应用安全的变化和趋势
2023年12月初,新思科技发布了BSIMM 14。从报告上来看,我们能够清晰的看到2023年在软件安全领域发生的变化。
2023-12-19 12:19:48
37
翻译 保障软件供应链安全《SBOM推荐实践指南》
2023年11底,美国ODN、NSA CCC、CISA、CSCC等多个政府机构部门联合发布了《保障软件供应链安全:SBOM推荐实践指南》,《SBOM推荐实践指南》主要由ESF(Enduring Security Framework长久安全框架)小组编撰,该文件根据行业内对于SBOM的最佳实践和原则提供了非常具有建议性的指导意见,并且鼓励软件开发商和供应商共同参考,以维护和提升对软件供应链安全的认识。
2023-12-18 13:11:23
247
原创 MISRA C++ 2023发布
MISRA C++ 2023于2023年11月份MISRA 发布了最新的标准升级版本,国外SAST工具厂商跟进速度非常快,国内SAST厂商还没有一家发布支持
2023-12-17 09:36:53
580
原创 数据采集方法
数据采集过程是数据流入数据中台的关键步骤,主要通过认证鉴权、关键数据源管控、采集数据传输安全、临时数据限制、日志记录和告警等多种措施来保障采安全性。
2023-12-15 23:09:19
956
原创 供应链安全应该掌握哪些呢
整理了供应链安全相关的内容,涵盖了普及应用安全、信息安全意识的内容,这些内容可以面向企业全部员工进行讲解。后面包括了面向开发人员、测试人员、安全人员的内容,包括应用安全开发、供应链安全。面向架构人员的架构安全内容,后面又包括了威胁建模方法及流程。面向开发人员的安全设计、代码检测/审计、编码规范、运行时缺陷和安全漏洞等讲解。Java典型安全漏洞和应用业务逻辑漏洞实例讲解,后面包括了开源治理内容等等。
2023-12-14 11:31:57
1109
原创 开源治理典型案例分享(汇编转)
当前,越来越多的企业申请通过信通院的开源治理成熟度评估和认证,获得增强级或先进级评估。这些企业包括中国工商银行股份有限公司、中国农业银行、上海浦东发展银行股份有限公司、中信银行股份有限公司、中国太平洋保险(集团)股份有限公司、招商银行股份有限公司(增强级)、西安银行股份有限公司(增强级)、宁波银行股份有限公司(增强级)、中国联合网络通信有限公司软件研究院(增强级)、中国移动通信集团有限公司等。
2023-12-11 13:13:22
1355
原创 信通院供应链安全&软件应用安全评估
近几年,信通院发布了供应链安全和软件应用安全相关的一些标准以及评估模型,同时开展企业评估认证工作。这些也正是在安全形势日益严峻,且国内企业迫切需要自己国家的安全相关标准的评估和认证,也便于对企业进行供应链安全建设、软件应用安全建设成果的评估。
2023-12-11 09:22:01
1005
转载 CNNVD安全漏洞分类(转)
我也不知道这张图从哪里来的了,也没有求证这个分类是否为CNNVD官方的,但是感觉这张图画的还是费心的,所以转发过来,因为不知道转自哪里,所以没有注明,如果有作者发给我,我这里补充上。 发在这里,是为了赚点流量票。
2023-12-09 22:23:49
133
原创 展望2024年供应链安全
2023年是开展供应链安全,尤其是开源治理如火如荼的一年,开源治理是供应链安全最重要的一个方面,所以我们从开源治理谈起。我们先回顾一下2023的开源治理情况。我们从信通院《2023年中国企业开源治理全景观察》发布的信息。信通院调研了来自七个行业、105家企业的开源软件治理能力,受到供应链安全传导的作用,2023年互联网、软件和信息服务企业均开启了开源治理活动。当然整体而言,本次调研占比较高的是金融、通信、互联网行业,以中大型企业为主。
2023-12-07 10:27:53
1769
4
2023年12月初,新思科技发布了BSIMM 14 从报告上来看,我们能够清晰的看到2023年在软件安全领域发生的变化
2023-12-19
保障软件供应链安全《SBOM推荐实践指南》2023年11月发布译文
2023-12-18
Gartner 2023年7月份发布了安全运营Hype Cycle,这些资料对安全运营做了前瞻性的分析 有时间可以读读
2023-12-01
安全产品开发,经常需要整理OWASP TOP 10与CWE的映射关系,这个文件是OWASP TOP 2021与CWE的映射关系
2023-11-26
静态分析资料汇总和学习笔记
2023-03-09
静态检测工具对比表-F&CO&COV.xlsx
2022-06-25
静态分析工具对比,包括了常见静态分析工具
2022-06-25
静态程序分析(五、六):数据流分析基础理论
2022-06-19
静态程序分析(七):过程间分析
2022-06-19
Mitigating the Risk of Software Vulnerabilities by Adopting
2022-06-19
Static Program Analysis,静态程序分析
2022-06-19
2004&2007&2010&2013&2017 OWASP TOP 10.rar
2020-04-12
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人