2021年09月_羊绒绒07_CSDN博客

羊绒绒07

码龄7年

55,778

总访问量
27

原创
51

粉丝
1

关注

IP 属地：上海市

加入CSDN时间： 2018-06-06

查看详细资料

个人成就

获得67次点赞
内容获得2次评论
获得87次收藏
博客总排名1,950,902名

TA的专栏

代码审计
13篇
培训
11篇
编码
4篇

TA关注的专栏 0

TA关注的收藏夹 0

TA关注的社区 0

TA参与的活动 0

创作活动更多

王者杯·14天创作挑战营·第2期

这是一个以写作博客为目的的创作活动，旨在鼓励码龄大于4年的博主们挖掘自己的创作潜能，展现自己的写作才华。如果你是一位热爱写作的、想要展现自己创作才华的小伙伴，那么，快来参加吧！我们一起发掘写作的魅力，书写出属于我们的故事。注： 1、参赛者可以进入活动群进行交流、分享创作心得，互相鼓励与支持（开卷），答疑及活动群请见https://bbs.csdn.net/topics/619735097 2、文章质量分查询：https://www.csdn.net/qc 我们诚挚邀请你们参加为期14天的创作挑战赛！

66人参与去参加

更多

企业级静态源代码安全漏洞及质量缺陷扫描分析方案

该平台可用于识别、跟踪和修复在源代码中的技术和逻辑上的缺陷，让软件开发团队及测试团队快速、准确定位源代码中的安全漏洞、质量和业务逻辑缺陷等问题，并依据提供的专业中肯的修复建议，快速修复。提高软件产品的可靠性、安全性。Java、JSP、JavaSript、VBSript、C#、ASP.net、VB.Net、VB6、C/C++、ASP、PHP、Python、Swift、Ruby、Perl、PL/SQL、Android、OWASP ESAPI、MISRA、Objective-C (iOS)、API及第三方语言。

发布博客 2024.03.07 ·

专家现场及网络安全分析

对用户被测系统的开发语言、框架、安全合规要求、业务风险要求等进行调查分析，确定安全扫描分析目标，根据客户使用的开发技术使用一种或多种源代码审计工具安全审计，并生成合规性报告。审计专家制定《系统源代码安全风险评估调查清单》，由系统开发团队填写提交，根据反馈内容进行访谈，了解被测系统语言、架构、合规要求等特征，分析提炼出系统薄弱点、易发问题、适合的扫描工具、扫描目标及扫描策略等。制定《源代码安全审查总结报告》，汇总审计服务中发现的漏洞、需要修复的漏洞、开发团队的漏洞修复情况，以及遗留风险等信息。

发布博客 2024.03.06 ·

国产源代码扫描工具端玛源代码扫描分析平台DMSCA的体验报告

国内源代码安全扫描工具DMSCA——端玛源代码扫描工具经过十多年的技术沉淀，在检测能力，技术能力，漏洞查找，漏洞修复等方面已经可以媲美国外知名的源代码扫描工具。同时在售后服务支持，修改需求，定制规则等功能也更加完善。让使用者感受更加优秀的测试体验，并更加贴合使用者的测试应用环境。

发布博客 2024.02.29 ·

几款应用安全工具

Checkmarx的CxEnterprise静态源代码安全漏洞扫描和管理方案是一款比较全面的、综合的源代码安全扫描和管理方案，该方案提供用户、角色和团队管理、权限管理、扫描结果管理、扫描调度和自动化管理、扫描资源管理、查询规则管理、扫描策略管理、更新管理、报表管理等多种企业环境下实施源代码安全扫描和管理功能。产品从面世，就获得了中国国内众多客户的青睐，这些客户包括但不限于银行、在线支付、保险、电力、能源、电信、汽车、媒体娱乐、软件、服务和军事等行业的财富1000企业。 服务独立，全面的团队扫描支持。

发布博客 2024.02.29 ·

企业级源代码安全审计咨询案例

企业要建立内部完整的代码审计服务平台，实现高效的自动化代码审计，需要打通企业研发管理的各个环节，让工具融入现有开发测试环境真正被接受和充分利用，需要从工具、扫描基线、编码规范到制度流程等各个环节进行评估设计。代码审计网专家服务团队，除了提供网络、现场的源代码审计服务外，为了帮助企业建立代码审计服务平台、代码扫描基线、安全和质量编码规范、制度流程，打通企业研发的各个管理环节，实现自动化等企业级源代码安全审计咨询服务。经过企业级的代码安全审计咨询服务可实现：企业关注的问题，都有编码规范要求；

发布博客 2023.11.15 ·

国产源代码扫描工具DMSCA扫描出的报告优秀吗？

在源代码扫描工具中，扫描报告是非常具有参考意义的，一方面可以了解我们开发项目的漏洞情况，另一方面也可以针对扫出的漏洞进行修复，确保开发出安全可靠的软件。源代码扫描工具DMSCA扫描出的报告也是非常优秀，找到的漏洞全面准确，误报率低，值得一用，官网即可免费试用三次，大家看完报告的部分截图页后不妨试试。试用可以下载完整的报告哦！国产源代码扫描工具DMSCA（端玛科技企业级源代码安全和质量缺陷扫描分析服务平台），在现如今源代码扫描工具和方案百花齐放的时代，一枝独秀，获得软件开发人员的一致好评。

发布博客 2023.11.14 ·

互联网企业该如何进行风险管理

比如，用户查看他/她未被授权打开的表格或文件的内容，或监听以明文方式通过网络传递的数据。容易造成信息泄密漏洞的示例包括使用隐藏表单域，在包含数据库连接串和连接细节的Web页面内嵌套注释，以及可能导致内部系统层级向客户端披露的异常处理不足。如果风险是不可接受的，并且您无法降低或转移风险，您可以选择避免风险。编写整理，转载请说明出处。比如，拒绝服务攻击可能通过用消耗所有可用系统资源的请求来轰击服务器，或者通过向服务器传递可使某应用进程崩溃的有缺陷的输入数据。风险的定义是可能影响您的组织目标的潜在威胁。

发布博客 2023.11.09 ·

一站式解决安全问题

端玛科技致力于攻克困难的应用软件安全问题，我们的解决方案以安全标准、安全教育和安全风险评估三大支柱为安全SDLC的基础，这三大支柱相互依存，创建了一个可重复的、安全的软件开发生态系统。主要业务范围：关注整个软件开发过程中的技术、人才、经验、制度、标准的建设和发展。

发布博客 2023.10.30 ·

软件开发企业SDL安全培训案例

微软安全开发生命周期（SDL）优化模型旨在促进微软以外的开发企业逐步、连贯并且以低成本更有效地实现SDL。该模型可以帮助负责企业软件开发生命周期中纳入安全性和隐私的负责人，来评估其目前的状态，并帮助这些负责人带领企业逐步利用微软的成熟过程来生产更安全软件。SDL优化模型让IT开发管理人员和IT决策者制定人员可以对其开发安全性进行评估。这些人员可以以更低成本、循序渐进、始经如一的方式创建更加安全可靠的软件，创建愿景和发展路线图，从而为客户降低风险。2.1 SDL能力领域完整的SDL流程说明如下图。

发布博客 2023.08.23 ·

四款源代码扫描工具

产品从面世，就获得了中国国内众多客户的青睐，这些客户包括但不限于银行、在线支付、保险、电力、能源、电信、汽车、媒体娱乐、软件、服务和军事等行业的财富1000企业。Checkmarx的CxEnterprise静态源代码安全漏洞扫描和管理方案是一款比较全面的、综合的源代码安全扫描和管理方案，该方案提供用户、角色和团队管理、权限管理、扫描结果管理、扫描调度和自动化管理、扫描资源管理、查询规则管理、扫描策略管理、更新管理、报表管理等多种企业环境下实施源代码安全扫描和管理功能。 服务独立，全面的团队扫描支持。

发布博客 2023.08.21 ·

创建软件安全需求

在软件开发生命周期的需求阶段，软件开发团队为其正在设计与实施的软件收集安全需求。这个阶段的重点是为高效软件创建一个安全的基础。作为创建安全基础的一部分，需求阶段必须考虑潜在的攻击和利用。在此阶段，我们将关注法律安全需求、客户安全需求，以及软件开发团队的适当安全培训在此阶段，应该创建一个风险概要文件，其中包括对应用程序的各种风险进行概述和分类的评估。在收集安全需求时，您需要知道应用程序是否必须遵守美国联邦或州的任何法规，这些法规通常规定有明确的安全需求。此外，您的应用程序也可能会受制于其他国家的规

发布博客 2021.09.07 ·

软件安全的重要性

软件安全侧重于保护计算机系统上运行的应用程序所提供的信息和资源。软件安全常常与网络安全相混淆。网络安全侧重于保护控制网络系统间数据流的IT基础设施。网络安全控制，如防火墙和入侵检测系统，通常不足以保证软件安全。软件安全攻击经常发生在网络安全控制无法涉及到的更高操作层。此外，应用程序可能实施网络安全控件无法识别的专有协议。开发或部署不安全软件并遭受安全攻击的组织会面临各种风险，这些风险具有很高的直接和间接成本。例如，当应用程序被黑客攻击时，组织可能会遭受停机的影响，以及与取证和恢复操作相关的.

发布博客 2021.08.12 ·

创建安全代码- C/C++基础

创建安全代码- C/C++基础让我们来看一些您必须要融入到您的C/C++应用程序开发过程的重要应用安全最佳实践。谨记 — 您需要防御所有可能危害系统的方式，因为攻击者只需找到一个被忽视的区域就可能实现攻击。攻击面减少原则声明在您部署您的产品应用程序时，您需要仅启用正确操作所需功能，而禁用其它特性。这样可以减少需要防御的区域数量，并且简化您的安全任务。安全缺省原则声明了您需要使用最安全的缺省设置来部署应用程序。用户通常不了解某些特性，并且不会根据最安全的设置来对其进行配置。以安全缺省来..

发布博客 2021.06.07 ·

安全开发基础

在过去的几年中，攻击属性已经改变，安全漏洞也有了明显而且持续地增多。在安全问题成为客户优先考虑处理的问题的同时，安全问题也变成了可以影响采购决策的一项市场化标志。通过降低停机时间和其它成本，培养软件安全意识有助于削减总持有成本。此外，良好的软件安全性还有助于帮您最大限度上降低遵从法律法规相关的成本。威胁建模可以帮助您确定要降低风险，应该把资源用在哪些地方。威胁建模可以帮助您平衡安全性与设计目标之间的关系，从而在您的应用程序设计环境中实施有效的安全对策。过去，安全性问题都集中在系统的边界安..

发布博客 2021.05.28 ·

DMSCA安全测试数据综合分析平台

DMSCA安全测试数据综合分析平台源代码安全扫描、审计、修复过程中，原始的历史扫描测试数据、审计状态、修复状态、结果汇总、趋势状态等数据的深度分析和为决策提供的分析报表将耗费开发团队、测试团队、安全团队和管理层大量的精力，DMSCA安全测试数据综合分析平台为大型集团企业、多项目、多团队的源代码安全测试数据提供更为务实和精准的细粒度的分析，从整体汇总、单个项目历史跟踪、标准合规、团队漏洞统计、漏洞分布、...

发布博客 2021.04.19 ·

电子邮件安全

根据卡巴斯基实验室公布的数据，在2016年的第一季度，中国受到的恶意邮件攻击仅次于德国，排名全球第二，占9.43%。中国是钓鱼邮件攻击高危国家其中之一，有16.7%的电子邮件用户都受到了钓鱼邮件的攻击，受到的攻击数仅次于占到21.5%排名第一的巴西。电子邮件通常要经过不止一台服务器才能到达目的地。这条途径上的每台服务器都可能对该邮件执行若干操作。服务器会执行记录、检查和分析以便筛选出垃圾邮...

发布博客 2018.08.24 ·

顶级技术招聘中看重的14个特质

在大多数情况下，任何职位的招聘都是一个挑战。你想要的是一个完美的候选人，不仅适合你的公司，而且最适合这个职位。这意味着您不仅要权衡他们的信息技术技能，还要考虑软技能，从而决定您应该向谁发出录用通知。考虑到需求的广泛性，您很难了解哪些能力或技能可以让其比他人更具价值。为了让人们更清楚地了解需要寻找哪些特质，福布斯技术委员会的14名成员提供了他们在雇佣其技术团队时，通常寻求的特质，从天生的好奇心和...

发布博客 2018.08.24 ·

SQL Injection

摘要以用户或者外部不可信来源的输入动态构造SQL查询的命令，将可能改变SQL查询语句本来的语义，从而导致执行任意的SQL命令。缺陷描述 SQL injection 错误在以下情况下发生： 1. 数据从一个不可信赖的数据源进入程序。 - 在这种情况下，静态扫描工具无法确定数据源是否可信赖。 2. 数据用于动态地构造一个 SQL 查询。示例1以下代...

发布博客 2018.08.22 ·

互联网企业该如何进行风险管理

谈到风险管理，首先我们应该了解如何评估威胁。威胁可以根据攻击的类型和目标来分类。STRIDE是微软开发出来对计算机安全威胁进行分类的威胁建模系统。STRIDE代表：假冒篡改抵赖信息披露拒绝服务提升权限假冒即试图通过使用错误的ID访问某个系统。这可以通过使用偷窃来的用户凭证或冒充网络主机来实现。在攻击者作为合法用户或主机成功访问之后，安全控制无法区分攻击者与有...

发布博客 2018.08.03 ·

有关GDPR合规性的五大应用安全活动

您可能会认为GDPR是法务部需要担心的一项合规要求。您也许认为应用安全与这项新的法规没有太多关联。请您重新考虑一下！事实是应用程序决定了一切。从数据对象处收集的数据是由软件完成的，然后通过软件对数据进行分析，并将其呈现给需要使用软件的人。GDPR对数据处理的安全性有严格的要求，这就是为什么GDPR合规性也是一个应用安全问题。 1. 了解您的数据因为您无法保护您所不知道的东...

发布博客 2018.08.03 ·