应用安全
文章平均质量分 94
Old Uncle Tom
这个作者很懒,什么都没留下…
展开
-
和有趣的灵魂关于静态分析工具一场对话
随着网络攻击和漏洞利用的增加,静态应用程序安全测试(SAST)在 DevSecOps 使用的继续激增,以满足全球日益增长的安全需求。怎样的静态分析工具才是软件开发人员期望的工具? 程序员更关心的误报率,还是漏报率?让我们通过和大模型的一场对话,来帮助我们进一步梳理在这些问题上的根因以及改进的要素。原创 2024-04-27 21:05:45 · 616 阅读 · 0 评论 -
CWE 4.14 与 ISA/IEC 62443
最近关于控制电动车停驶,以及苹果手机监控的故事,让人们更加的关注软件的安全性问题,特别是工业软件的安全性。如何保障工业软件的安全性,CWE 4.14 版本中 CWE 与 ISA/IEC 62443 规范的映射,进一步给出了软件缺陷的指导原创 2024-03-10 17:16:54 · 933 阅读 · 2 评论 -
构建DevSecOps中的代码三层防护体系
在DevSecOps的应用过程中,静态分析工具在开发阶段承担着非常重要的代码质量和安全的看护任务。本文根据开发过程的不同位置的开发环境、代码特征以及检测工具能力的差异,提出了需要因地制宜地部署检查工具,形成递进的三层代码安全防御体系,从而提高应用软件整体安全性,同时又能有效的贯彻安全左移的策略,降低安全问题的维护成本。原创 2023-09-20 23:27:01 · 113 阅读 · 1 评论 -
CWE4.8 -- 2022年危害最大的25种软件安全问题
CWE的危害最大的25种软件安全问题是安全从业人员、软件架构师、设计人员、开发人员、测试人员、用户、项目经理、安全研究人员, 以及教育工作者和标准组织等专业人员应对软件安全问题和降低软件安全风险的一种实用、方便的数据资源。我们来看下新版的《2022年危害最大的25种安全问题》在安全预防上会给了我们哪些安全提示。......原创 2022-07-31 12:27:17 · 1046 阅读 · 2 评论 -
密码密钥硬编码检查
Verizon《2022数据泄露调查报告(DBIR)》指出,61%的数据泄露涉及凭证数据,凭证是犯罪分子最喜欢的数据类型,就像披着羊皮的狼一样,它们的行为在攻击之前显得无害。凭证的泄露是信息泄露的主要途径,内部员工操作不规范、没有养成良好的工作行为习惯以及疏忽大意等已成为多起严重网络安全事件发生的根本原因。本文重点讲述通过静态检查工具有效的防止密码密钥的泄露。......原创 2022-07-12 23:30:16 · 1862 阅读 · 0 评论 -
CWE 4.6 和 OWASP TOP10(2021)
【摘要】 新发布的CWE4.6标准,加入了OWASP 2021 TOP10的视图。OWASP TOP10将Web应用中的漏洞按照其发生率、检测能力、影响和可利用性设定了一个优先级排名,帮助组织按照漏洞的优先级,关注、理解、正确识别、减轻在应用程序中这些漏洞造成的危害。同时也为检测工具厂商对这些安全问题的检测提出了要求。1. CWE 4.6CWE的更新,并没有因为疫情的影响,仍然保持着每年3-4个版本的更新速度,可见软件安全的重要性。这个月初4.6版本如约而至。我们来看下这次的更新,都有哪些亮点。1.1原创 2021-11-23 22:45:11 · 527 阅读 · 0 评论 -
Gartner 魔力四象限 -- 应用安全检测
1. Gartner魔力象限介绍全球领先的信息技术研究和顾问公司Gartner,采用魔力象限研究方法对特定市场的进行研究,利用图示法和一系列统一的评估标准,以图形化的方法提供了该技术领域的主要竞争参与者,以及这些竞争参与者的相对位置。Gartner 面对快速增长和提供商差异化明显的众多市场,Gartner 魔力象限用图形化方法划分出四类提供商魔力四象限图:领导者:很好地执行了当前愿景,并为未来做好了充分准备有远见者:了解市场发展方向,或者有改变市场规则的设想,但执行效果不尽如人意。特定领域者:成原创 2021-07-10 22:23:29 · 3268 阅读 · 0 评论