软件安全 学习笔记(扩展)

最新推荐文章于 2024-06-11 08:49:57 发布
最新推荐文章于 2024-06-11 08:49:57 发布
阅读量261 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43589143/article/details/105972465
版权

1.软件与软件安全

软件质量评估需要很专业的高水平

第三次“软件危机”-21世纪头20年
根源:软件安全
解决方法:软件安全开发生命周期

安全问题内容:

  1. 可靠性和可用性
  2. 信息的保密性和完整性

安全问题产生的原因:

  1. 自身存在安全问题
  2. 外部威胁

软件安全标准:

千行代码缺陷数量
普通:4~40
高管理软件公司:2~4
美国NASA软件:0.1

CMMI标准

解决安全缺陷的方法:

软件开发生命周期各阶段采取必要措施来减少软件安全漏洞

软件安全左移
把运营端的安全问题向开发端移动

典型软件安全检测技术
SAST:静态应用程序安全测试(静态检测)。在编码饭呢西阶段分析源代码和二进制文件来检测。
DAST:动态检测。模拟黑客攻击的方式来收集和判断程序的反应来确认是否存在安全缺陷。
IAST:交互式应用程序安全检测。将静态和动态结合。
SCA:软件成分分析。用于正在使用的开源和第三方组件的一直安全漏洞,以及软件许可限制。

2.OWASP经典项目

OWASP TOP10:web十大安全风险
OWASP Automated Threat Handbook Web Applications:业务逻辑安全
OWASP top ten proactive contrils:为抵御TOP 10而应做的安全意识
OWASP ASVS
OWASP Juice Shop Tool1

拉里拉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
北京邮电大学软件安全期末复习笔记
07-05
北京邮电大学软件安全期末复习笔记,整合了所有ppt和老师发的重点
软件安全笔记
wuuconix's blog
05-15 3705
又考完一门试了,把笔记扔这里吧。 第一章 软件安全概述 1.1软件的概念 软件 = 程序 + 数据 + 文档资料 软件功能 系统软件 支撑软件 应用软件 软件规模 微型、小型、中型、大型、甚大型、极大型 服务对象的范围 面向客户的项目软件 面向市场的产品软件 1.2软件安全的由来 软件应用越来越广泛 软件自身的原因 Connectivity 互联性 Extensibility 拓展性 Complexity 复杂性 黑客攻击方式的进化 传统技术的不足.
软件安全-基础知识
写代码的小阿帆的博客
05-20 831
#软件加解密 不同于其他传统制造业,软件的制作过程中没有其他原料成本,唯一的成本就是人力,随着互联网世界的发展,软件世界也不断变得庞大,其中凝结的人类劳动也越来越多,而这些软件的价值也越来越大,无疑会引起一些不法分子的觊觎,如果这些劳动被他人轻易“借鉴”,那么对软件开发者无疑是不公平的,由此产生了软件安全中的两大方向-软件的加密和解密。 软件的加密和解密是矛盾的两个方面,他们在斗争中相互进步,又相互依赖,是对立统一的辩证关系。但从理论上来说,没有不可解密的保护。所以想从技术上完全实现保护是不可能的,所以如果
软件安全建设【学习笔记
煜铭2011
02-18 3009
0x00 背景 学习研读了钉钉安全白皮书,将一些关键点记录如下: 0x01 全链路安全防护 1、客户端安全 应用完整性 重新编译 加壳保护 修改指令调用顺序 环境可信性 模拟器运行检测 越狱和 ROOT 检测 终端进程注入检测 提供应用沙箱环境 病毒检测 数据机密性 安全加密 安全沙箱 ...
软件安全学习笔记(2):80x86处理器的工作模式
白学病患者的专栏
09-07 844
实模式: 80x86处理器在复位或加电时是以实模式启动的。 寻址方式:20位、1M空间 不能对内存进行分页管理 不支持优先级,所有指令工作在特权级(优先级0) 可切换到保护模式 保护模式: 是80x86处理器的常态工作模式 寻址方式:32位,物理寻址空间达4G 支持内存分页机制,为虚拟内存提供良好支持 支持优先级机制,根据任务特性进行运行环境隔离 可切换到实模式(通过
EJB学习笔记.doc
05-14
EJB 学习笔记 EJB(Enterprise JavaBean)是一种企业级 Java 组件模型,用于开发大型企业级应用程序。以下是 EJB 学习笔记的知识点总结: 一、EJB 概述 * EJB 定义:EJB 是一种企业级 Java 组件模型,用于开发...
计算机软考网络规划设计师学习笔记汇总.docx
12-15
"计算机软考网络规划设计师学习笔记汇总" 计算机软考网络规划设计师学习笔记汇总涵盖了计算机网络概论、计算机网络分类、网络体系结构、服务数据单元、协议控制信息、协议数据单元、ISO/OSI与TCP/IP体系结构模型、...
GlusterFS学习笔记.docx
05-12
GlusterFS 学习笔记 GlusterFS 是一种开源的分布式文件系统,它可以将多个硬盘组合成一个大型存储系统,提供高性能、可扩展性和高可用性的存储解决方案。下面是 GlusterFS 的一些重要知识点: 1. Raid 概念 Raid...
胡伟煌 Linux学习笔记
09-06
* Linux是一个开源的操作系统,具有高可靠性、安全性和可扩展性等特点。 三、Linux文件权限 * Linux文件权限是指对文件或目录的访问控制,包括所有者、组和其他用户的读、写、执行权限。 四、Shell简介 * Shell...
计算机应用基础IE浏览器设置学习笔记.doc
01-12
学习笔记旨在帮助学生熟悉 IE 浏览器的设置和使用,掌握 IE 浏览器的常规设置、高级设置、安全设置和内容设置等知识点。通过学习笔记,学生将了解 IE 浏览器的基本概念、Internet 选项的常规设置、高级设置和...
软件安全基础知识
weixin_44519342的博客
04-14 2011
软件安全基础知识
软件安全学习笔记——C语言
liyanda5的博客
12-06 178
库函数: printf system 总结:我们使用库函数去完成一些功能,库函数是编译器提供给我们使用的。但是我们如果要使用某一个库函数,就需要包含相应的头文件。 比如 printf 属于<stdio.h> system 属于<stdlib.h> 关键字: 是C语言已经使用了的一些单词。 关于赋值时的类型转换: 我们在赋值的时候,如果赋值符号左右两边的类型不一致。 会自动的将右边的类型,转换为左边的类型,然后再赋值。这个叫做隐式转换...
软件设计师学习笔记-系统安全分析与设计
IT1995的博客
09-16 4635
目录 系统安全分析与设计 信息系统安全属性 对称加密技术 非对称加密技术 信息摘要 数字签名 数字信封与PGP 网络安全-各个网络层次的安全保障 网络威胁与攻击 网络安全-防火墙 系统安全分析与设计   信息系统安全属性   对称加密技术   非对称加密技术   信息摘要   数字签名   数字信封与PGP 例题: 答案...
软件安全复习
hisfox的博客
06-19 828
一.软件安全概述 1.软件的定义:计算机程序、规则和可能相关的文档。 即软件是程序、数据和文档的集合体 程序:完成特定功能和满足性能要求的指令序列 数据:程序运行的基础和操作的对象 文档:与程序开发、维护和使用有关的图文资料 2.零日漏洞指未被公开披露的软件漏洞,没有给软件的作者或厂商以时间去为漏洞打补丁或是给出建议解决方案,从而攻击者能够利用这种漏洞破坏计算机程序、数据及设备。 注意:零日漏洞不是软件发布后立刻发现的漏洞 利用零日漏洞开发攻击工具进行的攻...
APP安全漏洞学习笔记
shayuchaor的博客
12-28 5197
APP安全漏洞学习笔记 本文首先明确了APP安全的目标,然后对常见的APP漏洞进行了整理分析,并研究学习了APK的静态分析与动态分析技术,最后介绍了安卓的渗透测试技术和常见的安全评估工具。附录处整理了2014年和2015年的OWASP移动风险Top10. 1.安卓APP安全的目标 1.1保护用户的数据 用户在使用APP时通常不得不交付一些敏感数据给APP,如...
pwn|软件安全相关问题学习笔记
柷敔的博客
04-16 1379
软件安全相关问题比较琐碎,很多东西一时间记住了但是之后又忘掉了,因此以此文来荟萃各种零零散散的知识点,以备不虞。
软件安全学习笔记(1):系统引导与控制权
白学病患者的专栏
09-07 2125
一、计算机系统引导过程: 1、主板BIOS系统进行硬件自检     BIOS:基本输入输出系统,存储在主板BIOS Flash(或者ROM)芯片,为计算机提供最底层的最直接的硬件设置。     BIOS的自检和初始化:检测系统中的关键设备(内存、显卡等)是否存在和能否正常工作,进行初始化并将控制权交给后续引导程序。 2、硬盘主引导程序(MBR)     硬盘主引导扇区:位于硬盘第一个扇区
软件定义安全》之六:SDN和NFV安全实践
最新发布
大龄IT民工
06-11 1424
DDoS检测清洗应用ADS APP的设计思路:借助安全控制平台中流相关的组件,从SDN控制器中获得相应的流量,并根据抗DDoS应用订阅的恶意流特征进行检测,发现恶意流量后,应用可根据细粒度的检测判断是否出现恶意攻击。如是,则下发实时清洗的流指令,即可将恶意流量牵引到清洗设备ADS上。过程如下:➊注册。启动阶段,ADS设备和ADS APP均向安全控制平台注册,提供自己的基本信息,如类型、位置和能力等。➋订阅。为获取并检查可疑流,ADS APP向安全控制器发送订阅。➌流统计获取和检查。
PROFINET(学习笔记
04-05
以下是有关PROFINET的学习笔记: 1. PROFINET是什么? PROFINET是一种基于以太网技术的工业自动化通信协议,它可以实现实时控制和数据交换。PROFINET是PROFIBUS(另一种工业通信协议)的后继者,它使用以太网作为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值