软件缺陷等级评定综述 在软件开发和维护过程中,资源是有限的。通过明确缺陷的危险等级,可以帮助团队合理分配资源。同时缺陷危险等级为风险评估提供了一个量化的指标,可以更好地管理项目风险。本文将从软件静态分析工具、开发规范、国家标准、以及评估体系多个角度讨论软件缺陷等级的划分方式,以便对软件缺陷检查工具、软件缺陷管理中缺陷等级的划分起到一定的指导作用。
聚类:k-Means 和 k-Medoid 本文实现了 K-Means 和 K-Medoid 的算法。使用鸢尾花(Iris)数据集做了两种聚类方法在欧氏距离和余弦距离的聚类测试。通过精度、召回率、F1、纯度 对聚类效果做了评估。
用 CWE API 减轻软件产品中的安全风险 CWE REST API 的相关介绍放在了:API 主要包含以下API:CWE REST API 为安全需要提供了一种简单的获取 CWE 信息的接口;API 提供了查找:版本、节点类型、节点(弱点、类、视图)信息, 以及节点在视图中的父节点、祖先、子节点和所有子节点的查询能力;提供了 CWE 的 Json 格式文件, 让使用者在除了 XML 格式外多了一个选择;
论文精要:《对静态分析缺陷报告进行聚类,以降低维护成本》 静态分析工具通过自动识别源代码中的错误来促进软件维护。但是,对于大型系统,这些工具通常会生成大量的缺陷报告,其中许多缺陷报告在概念上是相似的。单独处理缺陷会花费开发人员的工作量,并增加维护负担。建议对生成的缺陷报告进行聚类,以便可以对类似的错误进行分类,并可能一起修复。论文的方法利用静态错误报告中可用的语法和结构信息来准确地聚类相关报告,从而加快维护过程。
CodeNavi 中代码节点的基础属性 CodeNavi 是一种用于编写静态检查规则的DSL语言。介绍 CodeNavi 中节点的通用属性。每个节点会有一些基础属性,用于得到这个节点所在类、函数、if、for、foreach、while或 try、catch 中的位置。
CWE 4.15 - AI/ML 引入的应用缺陷 近期专家们观察到越来越多的 AI/ML 造成具体的 CVE 漏洞之后,为了防范 AI/ML 对应用安全造成的影响,CWE 快速推出了 CWE 4.15 版本。
OWASP 移动应用 2024 十大安全风险 随着智能手机的快速发展,移动应用已经成为我们日常生活关系最密切的软件应用。开放全球应用程序安全项目(OWASP)基金会,致力于提高软件的安全性。自 2014、2016年发布了移动应用的十大风险后,今年再次发布2024版。这对移动应用软件的检查工具有着重要的指导作用。
CodeNavi 中代码语句的节点和节点属性 CodeNavi 是一种用于编写静态检查规则的DSL语言。本篇将介绍中代码里语句和代码块对应 CodeNavi 的节点和节点属性。 语句节点包括:赋值语句;控制流语句包括:跳转语句、条件控制、Switch控制、循环控制、异常处理、静态语句、同步代码块。
CodeNavi 中代码表达式的节点和节点属性 继续介绍 CodeNavi 检查规则语言如何描述代码中的表达式。这些节点主要包括:对象创建表达式、强制类型转换、类型判断表达式、一元表达式、二元表达式、条件表达式/三目运算、方法引用表达式、lambda表达式,以及匿名内部类表达式。
CodeNavi 规则的基础节点和节点属性 《CodeNavi 规则的语法结构》中已经描述了CodeNavi 编写规则的基础语法和对节点筛选的条件语句的语法。这篇里将进一步介绍代码中基础节点的定义,这些基础节点包括:节点类型、字面量、一般变量、枚举、成员变量(字段),以及数组。
CodeNavi 规则的语法结构 《寻找适合编写静态分析规则的语言》中我们一直在寻找一种更适合编写静态分析规则的语言,并给出了两个示例来说明我们的期望。这一篇重点介绍了这个用于编写代码检查规则的工具 CodeNavi 的语法结构。
寻找适合编写静态分析规则的语言 目前静态分析工具的主要痛点:无法开发自定义规则、对误报和漏报的规则无法快速修改,以及开发自定义规则有一定的难度。为了解决这些问题,我们需要寻找适合编写静态分析规则的语言。
代码的安全检视 代码检视是代码可读性、可维护性、规范遵从、团队内部学习和教育,以及把关和事故预防的重要手段。本文通过运用代码检视的检视表的方法,对代码常见的安全问题进行了覆盖,进一步降低代码安全问题的发生。
和另一个有趣的灵魂关于静态分析工具一场对话 上一篇关于[和有趣的灵魂关于静态分析工具一场对话](https://bbs.huaweicloud.com/blogs/426458)。这里是通过和另一个大模型[秘塔AI搜索](https://metaso.cn/)的对话,来进一步测试大模型对论文的概括和总结能力,同时也和大模型探讨了静态分析工具的痛点和解决方法。
和有趣的灵魂关于静态分析工具一场对话 随着网络攻击和漏洞利用的增加,静态应用程序安全测试(SAST)在 DevSecOps 使用的继续激增,以满足全球日益增长的安全需求。怎样的静态分析工具才是软件开发人员期望的工具? 程序员更关心的误报率,还是漏报率?让我们通过和大模型的一场对话,来帮助我们进一步梳理在这些问题上的根因以及改进的要素。
CWE 4.14 与 ISA/IEC 62443 最近关于控制电动车停驶,以及苹果手机监控的故事,让人们更加的关注软件的安全性问题,特别是工业软件的安全性。如何保障工业软件的安全性,CWE 4.14 版本中 CWE 与 ISA/IEC 62443 规范的映射,进一步给出了软件缺陷的指导
应用安全防护ESAPI ESAPI 是一个免费、开源的 web 应用程序安全控制库,使程序员更容易编写风险较低的应用程序。ESAPI库可以使程序员更容易对现有应用程序进行安全性改造,同时 ESAPI 库也是新应用系统开发确保安全的坚实基础。
关注
