- 博客(31)
- 收藏
- 关注
RSS订阅原创 企业级静态源代码安全漏洞及质量缺陷扫描分析方案
该平台可用于识别、跟踪和修复在源代码中的技术和逻辑上的缺陷,让软件开发团队及测试团队快速、准确定位源代码中的安全漏洞、质量和业务逻辑缺陷等问题,并依据提供的专业中肯的修复建议,快速修复。提高软件产品的可靠性、安全性。Java、JSP、JavaSript、VBSript、C#、ASP.net、VB.Net、VB6、C/C++、ASP、PHP、Python、Swift、Ruby、Perl、PL/SQL、Android、OWASP ESAPI、MISRA、Objective-C (iOS)、API及第三方语言。
2024-03-07 10:36:57
953
原创 专家现场及网络安全分析
对用户被测系统的开发语言、框架、安全合规要求、业务风险要求等进行调查分析,确定安全扫描分析目标,根据客户使用的开发技术使用一种或多种源代码审计工具安全审计,并生成合规性报告。审计专家制定《系统源代码安全风险评估调查清单》,由系统开发团队填写提交,根据反馈内容进行访谈,了解被测系统语言、架构、合规要求等特征,分析提炼出系统薄弱点、易发问题、适合的扫描工具、扫描目标及扫描策略等。制定《源代码安全审查总结报告》,汇总审计服务中发现的漏洞、需要修复的漏洞、开发团队的漏洞修复情况,以及遗留风险等信息。
2024-03-06 09:58:51
616
原创 国产源代码扫描工具端玛源代码扫描分析平台DMSCA的体验报告
国内源代码安全扫描工具DMSCA——端玛源代码扫描工具经过十多年的技术沉淀,在检测能力,技术能力,漏洞查找,漏洞修复等方面已经可以媲美国外知名的源代码扫描工具。同时在售后服务支持,修改需求,定制规则等功能也更加完善。让使用者感受更加优秀的测试体验,并更加贴合使用者的测试应用环境。
2024-02-29 10:34:19
591
原创 几款应用安全工具
Checkmarx的CxEnterprise静态源代码安全漏洞扫描和管理方案是一款比较全面的、综合的源代码安全扫描和管理方案,该方案提供用户、角色和团队管理、权限管理、扫描结果管理、扫描调度和自动化管理、扫描资源管理、查询规则管理、扫描策略管理、更新管理、报表管理等多种企业环境下实施源代码安全扫描和管理功能。产品从面世,就获得了中国国内众多客户的青睐,这些客户包括但不限于银行、在线支付、保险、电力、能源、电信、汽车、媒体娱乐、软件、服务和军事等行业的财富1000企业。 服务独立,全面的团队扫描支持。
2024-02-29 10:27:26
820
原创 企业级源代码安全审计咨询案例
企业要建立内部完整的代码审计服务平台,实现高效的自动化代码审计,需要打通企业研发管理的各个环节,让工具融入现有开发测试环境真正被接受和充分利用,需要从工具、扫描基线、编码规范到制度流程等各个环节进行评估设计。代码审计网专家服务团队,除了提供网络、现场的源代码审计服务外,为了帮助企业建立代码审计服务平台、代码扫描基线、安全和质量编码规范、制度流程,打通企业研发的各个管理环节,实现自动化等企业级源代码安全审计咨询服务。经过企业级的代码安全审计咨询服务可实现:企业关注的问题,都有编码规范要求;
2023-11-15 11:15:21
111
原创 国产源代码扫描工具DMSCA扫描出的报告优秀吗?
在源代码扫描工具中,扫描报告是非常具有参考意义的,一方面可以了解我们开发项目的漏洞情况,另一方面也可以针对扫出的漏洞进行修复,确保开发出安全可靠的软件。源代码扫描工具DMSCA扫描出的报告也是非常优秀,找到的漏洞全面准确,误报率低,值得一用,官网即可免费试用三次,大家看完报告的部分截图页后不妨试试。试用可以下载完整的报告哦!国产源代码扫描工具DMSCA(端玛科技企业级源代码安全和质量缺陷扫描分析服务平台),在现如今源代码扫描工具和方案百花齐放的时代,一枝独秀,获得软件开发人员的一致好评。
2023-11-14 11:25:11
302
原创 互联网企业该如何进行风险管理
比如,用户查看他/她未被授权打开的表格或文件的内容,或监听以明文方式通过网络传递的数据。容易造成信息泄密漏洞的示例包括使用隐藏表单域,在包含数据库连接串和连接细节的Web页面内嵌套注释,以及可能导致内部系统层级向客户端披露的异常处理不足。如果风险是不可接受的,并且您无法降低或转移风险,您可以选择避免风险。编写整理,转载请说明出处。比如,拒绝服务攻击可能通过用消耗所有可用系统资源的请求来轰击服务器,或者通过向服务器传递可使某应用进程崩溃的有缺陷的输入数据。风险的定义是可能影响您的组织目标的潜在威胁。
2023-11-09 11:24:36
128
原创 一站式解决安全问题
端玛科技致力于攻克困难的应用软件安全问题,我们的解决方案以安全标准、安全教育和安全风险评估三大支柱为安全SDLC的基础,这三大支柱相互依存,创建了一个可重复的、安全的软件开发生态系统。主要业务范围:关注整个软件开发过程中的技术、人才、经验、制度、标准的建设和发展。
2023-10-30 17:01:38
167
原创 软件开发企业SDL安全培训案例
微软安全开发生命周期(SDL)优化模型旨在促进微软以外的开发企业逐步、连贯并且以低成本更有效地实现SDL。该模型可以帮助负责企业软件开发生命周期中纳入安全性和隐私的负责人,来评估其目前的状态,并帮助这些负责人带领企业逐步利用微软的成熟过程来生产更安全软件。SDL优化模型让IT开发管理人员和IT决策者制定人员可以对其开发安全性进行评估。这些人员可以以更低成本、循序渐进、始经如一的方式创建更加安全可靠的软件,创建愿景和发展路线图,从而为客户降低风险。2.1 SDL能力领域完整的SDL流程说明如下图。
2023-08-23 11:11:35
918
原创 四款源代码扫描工具
产品从面世,就获得了中国国内众多客户的青睐,这些客户包括但不限于银行、在线支付、保险、电力、能源、电信、汽车、媒体娱乐、软件、服务和军事等行业的财富1000企业。Checkmarx的CxEnterprise静态源代码安全漏洞扫描和管理方案是一款比较全面的、综合的源代码安全扫描和管理方案,该方案提供用户、角色和团队管理、权限管理、扫描结果管理、扫描调度和自动化管理、扫描资源管理、查询规则管理、扫描策略管理、更新管理、报表管理等多种企业环境下实施源代码安全扫描和管理功能。 服务独立,全面的团队扫描支持。
2023-08-21 12:46:44
1408
原创 创建软件安全需求
在软件开发生命周期的需求阶段,软件开发团队为其正在设计与实施的软件收集安全需求。这个阶段的重点是为高效软件创建一个安全的基础。作为创建安全基础的一部分,需求阶段必须考虑潜在的攻击和利用。在此阶段,我们将关注法律安全需求、客户安全需求,以及软件开发团队的适当安全培训在此阶段,应该创建一个风险概要文件,其中包括对应用程序的各种风险进行概述和分类的评估。在收集安全需求时,您需要知道应用程序是否必须遵守美国联邦或州的任何法规,这些法规通常规定有明确的安全需求。此外,您的应用程序也可能会受制于其他国家的规
2021-09-07 09:50:37
267
原创 软件安全的重要性
软件安全侧重于保护计算机系统上运行的应用程序所提供的信息和资源。软件安全常常与网络安全相混淆。网络安全侧重于保护控制网络系统间数据流的IT基础设施。网络安全控制,如防火墙和入侵检测系统,通常不足以保证软件安全。软件安全攻击经常发生在网络安全控制无法涉及到的更高操作层。此外,应用程序可能实施网络安全控件无法识别的专有协议。开发或部署不安全软件并遭受安全攻击的组织会面临各种风险,这些风险具有很高的直接和间接成本。例如,当应用程序被黑客攻击时,组织可能会遭受停机的影响,以及与取证和恢复操作相关的.
2021-08-12 10:37:56
829
原创 创建安全代码- C/C++基础
创建安全代码- C/C++基础让我们来看一些您必须要融入到您的C/C++应用程序开发过程的重要应用安全最佳实践。谨记 — 您需要防御所有可能危害系统的方式,因为攻击者只需找到一个被忽视的区域就可能实现攻击。攻击面减少原则声明在您部署您的产品应用程序时,您需要仅启用正确操作所需功能,而禁用其它特性。这样可以减少需要防御的区域数量,并且简化您的安全任务。安全缺省原则声明了您需要使用最安全的缺省设置来部署应用程序。用户通常不了解某些特性,并且不会根据最安全的设置来对其进行配置。以安全缺省来..
2021-06-07 11:00:22
303
原创 安全开发基础
在过去的几年中,攻击属性已经改变,安全漏洞也有了明显而且持续地增多。在安全问题成为客户优先考虑处理的问题的同时,安全问题也变成了可以影响采购决策的一项市场化标志。通过降低停机时间和其它成本,培养软件安全意识有助于削减总持有成本。此外,良好的软件安全性还有助于帮您最大限度上降低遵从法律法规相关的成本。威胁建模可以帮助您确定要降低风险,应该把资源用在哪些地方。威胁建模可以帮助您平衡安全性与设计目标之间的关系,从而在您的应用程序设计环境中实施有效的安全对策。过去,安全性问题都集中在系统的边界安..
2021-05-28 10:03:09
238
原创 DMSCA安全测试数据综合分析平台
DMSCA安全测试数据综合分析平台源代码安全扫描、审计、修复过程中,原始的历史扫描测试数据、审计状态、修复状态、结果汇总、趋势状态等数据的深度分析和为决策提供的分析报表将耗费开发团队、测试团队、安全团队和管理层大量的精力,DMSCA安全测试数据综合分析平台为大型集团企业、多项目、多团队的源代码安全测试数据提供更为务实和精准的细粒度的分析,从整体汇总、单个项目历史跟踪、标准合规、团队漏洞统计、漏洞分布、...
2021-04-19 11:17:56
151
原创 电子邮件安全
根据卡巴斯基实验室公布的数据,在2016年的第一季度,中国受到的恶意邮件攻击仅次于德国,排名全球第二,占9.43%。中国是钓鱼邮件攻击高危国家其中之一,有16.7%的电子邮件用户都受到了钓鱼邮件的攻击,受到的攻击数仅次于占到21.5%排名第一的巴西。电子邮件通常要经过不止一台服务器才能到达目的地。这条途径上的每台服务器都可能对该邮件执行若干操作。服务器会执行记录、检查和分析以便筛选出垃圾邮...
2018-08-24 15:11:47
3382
翻译 顶级技术招聘中看重的14个特质
在大多数情况下,任何职位的招聘都是一个挑战。你想要的是一个完美的候选人,不仅适合你的公司,而且最适合这个职位。这意味着您不仅要权衡他们的信息技术技能,还要考虑软技能,从而决定您应该向谁发出录用通知。考虑到需求的广泛性,您很难了解哪些能力或技能可以让其比他人更具价值。为了让人们更清楚地了解需要寻找哪些特质,福布斯技术委员会的14名成员提供了他们在雇佣其技术团队时,通常寻求的特质,从天生的好奇心和...
2018-08-24 14:58:27
409
原创 SQL Injection
摘要 以用户或者外部不可信来源的输入动态构造SQL查询的命令,将可能改变SQL查询语句本来的语义,从而导致执行任意的SQL命令。缺陷描述 SQL injection 错误在以下情况下发生: 1. 数据从一个不可信赖的数据源进入程序。 - 在这种情况下, 静态扫描工具无法确定数据源是否可信赖。 2. 数据用于动态地构造一个 SQL 查询。 示例1以下代...
2018-08-22 16:24:14
2362
1
原创 互联网企业该如何进行风险管理
谈到风险管理,首先我们应该了解如何评估威胁。威胁可以根据攻击的类型和目标来分类。STRIDE是微软开发出来对计算机安全威胁进行分类的威胁建模系统。STRIDE代表:假冒 篡改 抵赖 信息披露 拒绝服务 提升权限假冒 即试图通过使用错误的ID访问某个系统。这可以通过使用偷窃来的用户凭证或冒充网络主机来实现。在攻击者作为合法用户或主机成功访问之后,安全控制无法区分攻击者与有...
2018-08-03 14:35:15
3988
翻译 有关GDPR合规性的五大应用安全活动
您可能会认为GDPR是法务部需要担心的一项合规要求。您也许认为应用安全与这项新的法规没有太多关联。请您重新考虑一下!事实是应用程序决定了一切。从数据对象处收集的数据是由软件完成的,然后通过软件对数据进行分析,并将其呈现给需要使用软件的人。GDPR对数据处理的安全性有严格的要求,这就是为什么GDPR合规性也是一个应用安全问题。 1. 了解您的数据因为您无法保护您所不知道的东...
2018-08-03 09:40:40
1045
翻译 2018需关注的五个企业web应用开发趋势
概述:随着数字技术改变了商业环境,web开发变得越来越重要。在不久的将来,那些跟上不断变化的发展趋势步伐的人将比那些不适应变化的人更有优势。那么企业应用开发在未来一年将走向何方?请在本文中了解更多详细信息。随着数字技术改变了商业环境,我们看到web开发变得越来越重要。研究公司Forrester很好地总结了一句话:“你部署的软件,尤其是你创建的定制化软件,将越来越成为你竞争优势的一部分。”...
2018-08-02 10:23:27
975
原创 应用安全国际合规标准
OWASP Top 10这一常见的安全标准由世界上最大的应用安全非盈利组织——开源Web应用程序安全项目(OWASP)发布。越来越多的来自不同行业的公司开始接受这一列表,它始终包含着当今最关键的web应用程序安全缺陷。OWASP Top 10 2013与OWASP移动Top 10 2014由来自世界各地的应用安全专家创建和更新。 PCI DSS支付卡行业数据安全标准(PCI DSS...
2018-08-01 15:14:30
1142
原创 跨站脚本介绍——JSP
漏洞是您的团队在软件开发过程中所犯错误造成的结果跨站脚本(Cross-Site Scripting)漏洞极为常见,七成Web应用程序受其影响。这些漏洞会产生极严重的后果,如允许攻击者窃取或篡改敏感性数据。为了避免创建不安全代码,您需要理解跨站脚本漏洞背后的机制。我们基于计算机的培训课程(CBT)为开发人员、测试人员、项目经理和架构师准备了软件安全开发的最新知识,以培养员工的安全意识,使员工...
2018-07-27 10:54:04
672
原创 应用安全基础
大多数攻击出现在应用层并利用已知漏洞应用安全是一种可供开发人员、测试人员与管理人员在其整个开发过程可用的多层方法论。我们基于计算机的培训课程(CBT)为开发人员、测试人员、项目经理和架构师准备了软件安全开发的最新知识,以培养员工的安全意识,使员工能够设计、创建和部署安全的软件和应用。用户可自行安排时间使用计算机访问课程,同时课程学习环境是高度互动的。课程概述: 本课程描...
2018-07-26 14:24:43
488
原创 一站式解决安全问题
端玛科技致力于攻克最困难的应用软件安全问题,我们的解决方案以安全标准、安全教育和安全风险评估三大支柱为安全SDLC的基础,这三大支柱相互依存,创建了一个可重复的、安全的软件开发生态系统主要业务范围:关注整个软件开发过程中的技术、人才、经验、制度、标准的建设和发展.为软件开发人员、设计人员、测试人员和信息安全管理和监督人员提供从安全意识、安全需求、安全设计、安全编码、安全测试和维护及安全标准等多方...
2018-07-16 09:21:53
351
原创 代码审计
代码审计网是端玛科技联合业界著名的软件安全咨询服务公司Security Innovation、最优秀的源代码安全扫描产品及服务提供商VeraCode、Micro Focus、(ISC)²国际信息系统安全技术联盟、公安部第三研究所——国际技贸、电子科技大学——网络空间安全研究中心、华中科技大学——计算机科学与技术学院、中国软件测评机构联盟,北京时代新威及多家业内知名安全公司共同打造的专业性代码审计服...
2018-07-05 15:16:39
7592
翻译 什么是黑客松培训
什么是Hackathon?Hackathon(黑客松)是一种让参与玩家可以在安全、合法的环境中通过自主研究黑客技术,从而了解计算机软件是如何被黑客攻击的方法。其包含一个计分板网站,负责处理注册、排行榜,并且管理每个存在漏洞的应用程序以及软件的某个或多个存在漏洞的部分。目前,美国的Security Innovation联合上海端玛科技有限公司已经开发了三个存在漏洞的网站。每个漏洞网站都包含一些代码,...
2018-06-11 11:44:40
1910
原创 源代码扫描工具
1. DMSCA-企业级静态源代码扫描分析服务平台系统架构 客户可以通过Internet或者局域网络 从浏览器、Eclipse、Visual Studio 、命令行 、甚至 Web 服务访问DMSCA 服务平台,上传扫描代码,选择扫描策略,自动化扫描, 并利用平台可视化环境 ,审计扫描结果 ,生成审计报告 ,并可以利用平台提供的知识库 ,学习软件安全漏洞 、代码质量缺陷等多方面的知识,加...
2018-06-11 11:39:08
17338
1
原创 端玛应用安全开发技术培训
定制化培训课程以下是端玛科技为一家保险业客户定制化课程集合的示例。端玛科技遵循敏捷软件开发过程,为客户定制化了该课程集合。我们与客户经常进行密切沟通以实现定制化课程。了解每一家公司独特的角色、技术、管理及目标是我们创建最适用于客户情况的培训及修复指导最优组合方案的关键。结合客户实际的度身定制的培训计划将能够推动项目成功。以下是我们为某财富500强零售企业定制化的课程集合。培训计划建议为期两年。...
2018-06-11 11:13:29
257
原创 端玛应用安全培训
作为业界最杰出的基于计算机的应用程序的安全培训解决方案,端玛科技联合美国Security Innovation公司为开发团队、各个部门及大型企业提供安全意识、应用程序漏洞评估、修复和预防等内容的培训,涵盖了从安全意识到安全的代码和设计、安全工程和安全测试基础等主题,提高应用安全相关的专业知识,培养安全开发合规性及学习安全编码的最佳实践。分角色的培训课程,面向不同的组织角色,包括开发人员、软...
2018-06-06 15:59:20
299
原创 端玛企业级静态源代码扫描分析服务平台——DMSCA
DMSCA是端玛科技在多年静态分析技术的积累及研发努力的基础上,联合多所国内及国际知名大学、专家共同分析全球静态分析技术的优缺点后、结合当前开发语言的技术现状、源代码缺陷的发展势态和市场后,研发出的新一代源代码企业级分析方案,旨在从根源上识别、跟踪和修复源代码技术和逻辑上的缺陷。该方案克服了传统静态分析工具误报率(False Positive)高和漏报(False Negative)的...
2018-06-06 15:36:51
1811
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人