![](https://img-blog.csdnimg.cn/20201014180756930.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
代码审计
文章平均质量分 75
羊绒绒07
这个作者很懒,什么都没留下…
展开
-
软件安全的重要性
软件安全侧重于保护计算机系统上运行的应用程序所提供的信息和资源。软件安全常常与网络安全相混淆。网络安全侧重于保护控制网络系统间数据流的IT基础设施。网络安全控制,如防火墙和入侵检测系统,通常不足以保证软件安全。软件安全攻击经常发生在网络安全控制无法涉及到的更高操作层。此外,应用程序可能实施网络安全控件无法识别的专有协议。开发或部署不安全软件并遭受安全攻击的组织会面临各种风险,这些风险具有很高的直接和间接成本。例如,当应用程序被黑客攻击时,组织可能会遭受停机的影响,以及与取证和恢复操作相关的.原创 2021-08-12 10:37:56 · 808 阅读 · 0 评论 -
创建安全代码- C/C++基础
创建安全代码- C/C++基础让我们来看一些您必须要融入到您的C/C++应用程序开发过程的重要应用安全最佳实践。谨记 — 您需要防御所有可能危害系统的方式,因为攻击者只需找到一个被忽视的区域就可能实现攻击。攻击面减少原则声明在您部署您的产品应用程序时,您需要仅启用正确操作所需功能,而禁用其它特性。这样可以减少需要防御的区域数量,并且简化您的安全任务。安全缺省原则声明了您需要使用最安全的缺省设置来部署应用程序。用户通常不了解某些特性,并且不会根据最安全的设置来对其进行配置。以安全缺省来..原创 2021-06-07 11:00:22 · 269 阅读 · 0 评论 -
安全开发基础
在过去的几年中,攻击属性已经改变,安全漏洞也有了明显而且持续地增多。在安全问题成为客户优先考虑处理的问题的同时,安全问题也变成了可以影响采购决策的一项市场化标志。通过降低停机时间和其它成本,培养软件安全意识有助于削减总持有成本。此外,良好的软件安全性还有助于帮您最大限度上降低遵从法律法规相关的成本。威胁建模可以帮助您确定要降低风险,应该把资源用在哪些地方。威胁建模可以帮助您平衡安全性与设计目标之间的关系,从而在您的应用程序设计环境中实施有效的安全对策。过去,安全性问题都集中在系统的边界安..原创 2021-05-28 10:03:09 · 212 阅读 · 0 评论 -
DMSCA安全测试数据综合分析平台
DMSCA安全测试数据综合分析平台源代码安全扫描、审计、修复过程中,原始的历史扫描测试数据、审计状态、修复状态、结果汇总、趋势状态等数据的深度分析和为决策提供的分析报表将耗费开发团队、测试团队、安全团队和管理层大量的精力,DMSCA安全测试数据综合分析平台为大型集团企业、多项目、多团队的源代码安全测试数据提供更为务实和精准的细粒度的分析,从整体汇总、单个项目历史跟踪、标准合规、团队漏洞统计、漏洞分布、...原创 2021-04-19 11:17:56 · 128 阅读 · 0 评论 -
SQL Injection
摘要 以用户或者外部不可信来源的输入动态构造SQL查询的命令,将可能改变SQL查询语句本来的语义,从而导致执行任意的SQL命令。缺陷描述 SQL injection 错误在以下情况下发生: 1. 数据从一个不可信赖的数据源进入程序。 - 在这种情况下, 静态扫描工具无法确定数据源是否可信赖。 2. 数据用于动态地构造一个 SQL 查询。 示例1以下代...原创 2018-08-22 16:24:14 · 2213 阅读 · 1 评论 -
互联网企业该如何进行风险管理
谈到风险管理,首先我们应该了解如何评估威胁。威胁可以根据攻击的类型和目标来分类。STRIDE是微软开发出来对计算机安全威胁进行分类的威胁建模系统。STRIDE代表:假冒 篡改 抵赖 信息披露 拒绝服务 提升权限假冒 即试图通过使用错误的ID访问某个系统。这可以通过使用偷窃来的用户凭证或冒充网络主机来实现。在攻击者作为合法用户或主机成功访问之后,安全控制无法区分攻击者与有...原创 2018-08-03 14:35:15 · 3909 阅读 · 0 评论 -
有关GDPR合规性的五大应用安全活动
您可能会认为GDPR是法务部需要担心的一项合规要求。您也许认为应用安全与这项新的法规没有太多关联。请您重新考虑一下!事实是应用程序决定了一切。从数据对象处收集的数据是由软件完成的,然后通过软件对数据进行分析,并将其呈现给需要使用软件的人。GDPR对数据处理的安全性有严格的要求,这就是为什么GDPR合规性也是一个应用安全问题。 1. 了解您的数据因为您无法保护您所不知道的东...翻译 2018-08-03 09:40:40 · 1016 阅读 · 0 评论 -
2018需关注的五个企业web应用开发趋势
概述:随着数字技术改变了商业环境,web开发变得越来越重要。在不久的将来,那些跟上不断变化的发展趋势步伐的人将比那些不适应变化的人更有优势。那么企业应用开发在未来一年将走向何方?请在本文中了解更多详细信息。随着数字技术改变了商业环境,我们看到web开发变得越来越重要。研究公司Forrester很好地总结了一句话:“你部署的软件,尤其是你创建的定制化软件,将越来越成为你竞争优势的一部分。”...翻译 2018-08-02 10:23:27 · 955 阅读 · 0 评论 -
应用安全国际合规标准
OWASP Top 10这一常见的安全标准由世界上最大的应用安全非盈利组织——开源Web应用程序安全项目(OWASP)发布。越来越多的来自不同行业的公司开始接受这一列表,它始终包含着当今最关键的web应用程序安全缺陷。OWASP Top 10 2013与OWASP移动Top 10 2014由来自世界各地的应用安全专家创建和更新。 PCI DSS支付卡行业数据安全标准(PCI DSS...原创 2018-08-01 15:14:30 · 1099 阅读 · 0 评论 -
一站式解决安全问题
端玛科技致力于攻克最困难的应用软件安全问题,我们的解决方案以安全标准、安全教育和安全风险评估三大支柱为安全SDLC的基础,这三大支柱相互依存,创建了一个可重复的、安全的软件开发生态系统主要业务范围:关注整个软件开发过程中的技术、人才、经验、制度、标准的建设和发展.为软件开发人员、设计人员、测试人员和信息安全管理和监督人员提供从安全意识、安全需求、安全设计、安全编码、安全测试和维护及安全标准等多方...原创 2018-07-16 09:21:53 · 326 阅读 · 0 评论 -
代码审计
代码审计网是端玛科技联合业界著名的软件安全咨询服务公司Security Innovation、最优秀的源代码安全扫描产品及服务提供商VeraCode、Micro Focus、(ISC)²国际信息系统安全技术联盟、公安部第三研究所——国际技贸、电子科技大学——网络空间安全研究中心、华中科技大学——计算机科学与技术学院、中国软件测评机构联盟,北京时代新威及多家业内知名安全公司共同打造的专业性代码审计服...原创 2018-07-05 15:16:39 · 7559 阅读 · 0 评论 -
端玛企业级静态源代码扫描分析服务平台——DMSCA
DMSCA是端玛科技在多年静态分析技术的积累及研发努力的基础上,联合多所国内及国际知名大学、专家共同分析全球静态分析技术的优缺点后、结合当前开发语言的技术现状、源代码缺陷的发展势态和市场后,研发出的新一代源代码企业级分析方案,旨在从根源上识别、跟踪和修复源代码技术和逻辑上的缺陷。该方案克服了传统静态分析工具误报率(False Positive)高和漏报(False Negative)的...原创 2018-06-06 15:36:51 · 1783 阅读 · 0 评论 -
源代码扫描工具
1. DMSCA-企业级静态源代码扫描分析服务平台系统架构 客户可以通过Internet或者局域网络 从浏览器、Eclipse、Visual Studio 、命令行 、甚至 Web 服务访问DMSCA 服务平台,上传扫描代码,选择扫描策略,自动化扫描, 并利用平台可视化环境 ,审计扫描结果 ,生成审计报告 ,并可以利用平台提供的知识库 ,学习软件安全漏洞 、代码质量缺陷等多方面的知识,加...原创 2018-06-11 11:39:08 · 17240 阅读 · 1 评论