Old Uncle Tom-CSDN博客

原创 CodeNavi 中代码节点的基础属性

CodeNavi 是一种用于编写静态检查规则的DSL语言。介绍 CodeNavi 中节点的通用属性。每个节点会有一些基础属性，用于得到这个节点所在类、函数、if、for、foreach、while或 try、catch 中的位置。

2024-07-22 09:38:32 617

原创 CWE 4.15 - AI/ML 引入的应用缺陷

近期专家们观察到越来越多的 AI/ML 造成具体的 CVE 漏洞之后，为了防范 AI/ML 对应用安全造成的影响，CWE 快速推出了 CWE 4.15 版本。

2024-07-22 09:27:30 629

原创 OWASP 移动应用 2024 十大安全风险

随着智能手机的快速发展，移动应用已经成为我们日常生活关系最密切的软件应用。开放全球应用程序安全项目（OWASP）基金会，致力于提高软件的安全性。自 2014、2016年发布了移动应用的十大风险后，今年再次发布2024版。这对移动应用软件的检查工具有着重要的指导作用。

2024-07-14 21:34:03 1293

原创 CodeNavi 中代码语句的节点和节点属性

CodeNavi 是一种用于编写静态检查规则的DSL语言。本篇将介绍中代码里语句和代码块对应 CodeNavi 的节点和节点属性。语句节点包括：赋值语句；控制流语句包括：跳转语句、条件控制、Switch控制、循环控制、异常处理、静态语句、同步代码块。

2024-07-13 20:31:59 613

原创 CodeNavi 中代码函数的节点和节点属性

CodeNavi 是一种用于编写静态检查规则的DSL语言。本篇将介绍 CodeNavi 中代码里函数、类/接口声明、注解，以及注释的节点和节点属性。

2024-07-13 20:26:33 660

原创 CodeNavi 中代码表达式的节点和节点属性

继续介绍 CodeNavi 检查规则语言如何描述代码中的表达式。这些节点主要包括：对象创建表达式、强制类型转换、类型判断表达式、一元表达式、二元表达式、条件表达式/三目运算、方法引用表达式、lambda表达式，以及匿名内部类表达式。

2024-07-09 18:53:35 1046

原创 CodeNavi 规则的基础节点和节点属性

《CodeNavi 规则的语法结构》中已经描述了CodeNavi 编写规则的基础语法和对节点筛选的条件语句的语法。这篇里将进一步介绍代码中基础节点的定义，这些基础节点包括：节点类型、字面量、一般变量、枚举、成员变量（字段），以及数组。

2024-07-09 18:45:20 634

原创 CodeNavi 规则的语法结构

《寻找适合编写静态分析规则的语言》中我们一直在寻找一种更适合编写静态分析规则的语言，并给出了两个示例来说明我们的期望。这一篇重点介绍了这个用于编写代码检查规则的工具 CodeNavi 的语法结构。

2024-07-05 23:26:59 1022

原创寻找适合编写静态分析规则的语言

目前静态分析工具的主要痛点：无法开发自定义规则、对误报和漏报的规则无法快速修改，以及开发自定义规则有一定的难度。为了解决这些问题，我们需要寻找适合编写静态分析规则的语言。

2024-07-05 23:16:31 1058

原创代码的安全检视

代码检视是代码可读性、可维护性、规范遵从、团队内部学习和教育，以及把关和事故预防的重要手段。本文通过运用代码检视的检视表的方法，对代码常见的安全问题进行了覆盖，进一步降低代码安全问题的发生。

2024-05-26 18:42:11 1028

原创和另一个有趣的灵魂关于静态分析工具一场对话

上一篇关于[和有趣的灵魂关于静态分析工具一场对话](https://bbs.huaweicloud.com/blogs/426458)。这里是通过和另一个大模型[秘塔AI搜索](https://metaso.cn/)的对话，来进一步测试大模型对论文的概括和总结能力，同时也和大模型探讨了静态分析工具的痛点和解决方法。

2024-05-02 12:48:40 848 2

原创和有趣的灵魂关于静态分析工具一场对话

随着网络攻击和漏洞利用的增加，静态应用程序安全测试（SAST）在 DevSecOps 使用的继续激增，以满足全球日益增长的安全需求。怎样的静态分析工具才是软件开发人员期望的工具? 程序员更关心的误报率，还是漏报率？让我们通过和大模型的一场对话，来帮助我们进一步梳理在这些问题上的根因以及改进的要素。

2024-04-27 21:05:45 651

原创 CWE 4.14 与 ISA/IEC 62443

最近关于控制电动车停驶，以及苹果手机监控的故事，让人们更加的关注软件的安全性问题，特别是工业软件的安全性。如何保障工业软件的安全性，CWE 4.14 版本中 CWE 与 ISA/IEC 62443 规范的映射，进一步给出了软件缺陷的指导

2024-03-10 17:16:54 978 2

原创应用安全防护ESAPI

ESAPI 是一个免费、开源的 web 应用程序安全控制库，使程序员更容易编写风险较低的应用程序。ESAPI库可以使程序员更容易对现有应用程序进行安全性改造，同时 ESAPI 库也是新应用系统开发确保安全的坚实基础。

2024-02-03 19:49:51 945 1

原创构建DevSecOps中的代码三层防护体系

在DevSecOps的应用过程中，静态分析工具在开发阶段承担着非常重要的代码质量和安全的看护任务。本文根据开发过程的不同位置的开发环境、代码特征以及检测工具能力的差异，提出了需要因地制宜地部署检查工具，形成递进的三层代码安全防御体系，从而提高应用软件整体安全性，同时又能有效的贯彻安全左移的策略，降低安全问题的维护成本。

2023-09-20 23:27:01 115 1

原创 CWE4.8 -- 2022年危害最大的25种软件安全问题

CWE的危害最大的25种软件安全问题是安全从业人员、软件架构师、设计人员、开发人员、测试人员、用户、项目经理、安全研究人员, 以及教育工作者和标准组织等专业人员应对软件安全问题和降低软件安全风险的一种实用、方便的数据资源。我们来看下新版的《2022年危害最大的25种安全问题》在安全预防上会给了我们哪些安全提示。......

2022-07-31 12:27:17 1074 2

原创密码密钥硬编码检查

Verizon《2022数据泄露调查报告（DBIR）》指出，61%的数据泄露涉及凭证数据，凭证是犯罪分子最喜欢的数据类型，就像披着羊皮的狼一样，它们的行为在攻击之前显得无害。凭证的泄露是信息泄露的主要途径，内部员工操作不规范、没有养成良好的工作行为习惯以及疏忽大意等已成为多起严重网络安全事件发生的根本原因。本文重点讲述通过静态检查工具有效的防止密码密钥的泄露。......

2022-07-12 23:30:16 1918

原创 CWE 4.6 和 OWASP TOP10(2021)

【摘要】新发布的CWE4.6标准，加入了OWASP 2021 TOP10的视图。OWASP TOP10将Web应用中的漏洞按照其发生率、检测能力、影响和可利用性设定了一个优先级排名，帮助组织按照漏洞的优先级，关注、理解、正确识别、减轻在应用程序中这些漏洞造成的危害。同时也为检测工具厂商对这些安全问题的检测提出了要求。1. CWE 4.6CWE的更新，并没有因为疫情的影响，仍然保持着每年3-4个版本的更新速度，可见软件安全的重要性。这个月初4.6版本如约而至。我们来看下这次的更新，都有哪些亮点。1.1

2021-11-23 22:45:11 548

原创 Gartner 魔力四象限 -- 应用安全检测

1. Gartner魔力象限介绍全球领先的信息技术研究和顾问公司Gartner，采用魔力象限研究方法对特定市场的进行研究，利用图示法和一系列统一的评估标准，以图形化的方法提供了该技术领域的主要竞争参与者，以及这些竞争参与者的相对位置。Gartner 面对快速增长和提供商差异化明显的众多市场，Gartner 魔力象限用图形化方法划分出四类提供商魔力四象限图：领导者：很好地执行了当前愿景，并为未来做好了充分准备有远见者：了解市场发展方向，或者有改变市场规则的设想，但执行效果不尽如人意。特定领域者：成

2021-07-10 22:23:29 3362

原创供应链攻击的防护

1. 历史上最大的勒索软件攻击7月2日勒索组织REvil，攻击了一家来自瑞典的IT管理服务提供商(managed service providers(MSP)) – Kaseya。Kaseya的VSA(虚拟系统管理)是一个基于云的管理服务提供商(MSP)平台，该平台为客户提供了一套基于Web的新一代自动化IT系统管理解决方案。MSP通过建立自己的网络运作中心(Network Operating Center(NOC))来为企业提供 24×7×365 的系统管理服务的业务。MSP可以实现对客户的IT系统的

2021-07-10 22:10:41 1133

原创 2021RSAC -- 网络韧性

2021RSAC – 网络韧性摘要：每年的RSAC大会是安全界的盛会，特别是创新沙箱的, 每每都能嗅到安全技术趋势和资本追逐散发出来的兴奋气息。今年大会的主题是：网络韧性。什么是网络韧性？网络韧性在网络安全中的作用是什么？网络韧性和网络安全有什么区别？1. 2021RSAC 创新沙箱TOP10今年的TOP10如下，冠军是Apiiro，这个通过管理代码生命周期的各种修改和相关的操作与API之间的联系，建立了开发人员，代码，API，合规管理之间的关系网，从而推断是否有可能带来安全问题。但相关的资料很少，需

2021-05-29 10:43:09 8829

原创复杂Gremlin查询的调试方法

复杂Gremlin查询的调试方法摘要:Gremlin是图数据库查询使用最普遍的基础查询语言。Gremlin的图灵完备性，使其能够编写非常复杂的查询语句。对于复杂的问题，我们该如何编写一个复杂的查询？以及我们该如何理解已有的复杂查询？本文带你逐步抽丝剥茧，完成复杂查询的调试。1. Gremlin简介Gremlin是Apache TinkerPop 框架下的图遍历语言。Gremlin是一种函数式数据流语言，可以使得用户使用简洁的方式表述复杂的属性图（property graph）的遍历或查询。每个Gre

2021-05-02 11:31:17 690

shendong70的博客