干货分享
文章平均质量分 75
深耕软件安全领域十年干货经验分享,帮助企业增强安全知识,提升安全防护能力
开源网安
开源网安是中国软件安全行业创领者,为用户提供研发安全、软件供应链安全、安全教育等一站式服务。
展开
-
【揭秘】SAST代码审核工具安全护航“中国制造”
中国商飞采用开源网安代码审核工具,对内部数字化系统和研发体系交付的源码包和制品包进行全面的检测,为其数字化转型中发挥着重要的作用原创 2024-04-26 14:33:04 · 885 阅读 · 2 评论 -
穿越30年,记录程序员“修复bug”的时代变迁
一不小心 就敲了30年代码原创 2024-04-09 10:39:41 · 247 阅读 · 0 评论 -
从东汉的衰亡中,我们能学到什么软件安全知识? @安全历史02
治大国如烹小鲜,企业安全治理亦是如此原创 2024-04-02 16:35:35 · 1141 阅读 · 0 评论 -
代码审计工具在DevSecOps中的扮演什么样的角色?
代码检测工具在DevSecOps中的扮演什么样的角色?揭开代码世界中的安全迷雾,打造高质量、安全的软件系统原创 2024-03-28 09:59:04 · 584 阅读 · 0 评论 -
如何打破SAST代码审计工具的局限性?
在代码的世界里,安全问题如同潜伏的暗礁,随时可能让航行中的软件项目触礁沉没。SAST代码审计工具如同雷达一样,以其独特的检测能力帮助开发者在代码层面进行深度扫描,识别并定位出潜在的安全漏洞。然而,即便是如此强大的检测工具,也有它的局限性。本文将揭示SAST工具局限性与挑战,并探讨其解决方法(关键词:白盒测试;代码分析工具;代码扫描工具;静态代码检测工具;)原创 2024-03-21 17:56:34 · 908 阅读 · 0 评论 -
企业如何选择一个开源「好」项目?
需求明确是关键,风险考量要周全,开源虽好不白捡,别忘合规!原创 2024-03-19 15:01:51 · 1239 阅读 · 0 评论 -
揭露 | 那些关于软件安全的谎言
开源网安是软件安全领域的创领者,已深耕十余年,实现了全链条软件安全产品国产化替代,并为超300+五百强客户提供服务,涵盖政府、监管机构、金融、能源、科技、医疗、车联网等行业。每个团队成员,无论是开发者、测试人员还是普通员工,都应当具备基本的安全意识和知识,共同维护软件安全。此外,许多现代软件都包含本地与远程通信功能,即使主要功能是离线的,也可能存在潜在安全风险。即使是小型软件,如果提供了有价值的功能或数据,也可能成为攻击者的目。因此,不要低估小型软件可能面临的风险,应该采取积极措施来保护软件的安全。原创 2024-03-15 17:44:20 · 504 阅读 · 0 评论 -
内部分享 | 某安全公司「代码审计岗位」面试题
代码审计,这个在信息安全领域里举足轻重的岗位,它要求的不仅仅是过硬的技术实力,更需要对细节敏锐的洞察力和对安全漏洞深刻的理解。这些题目,有的涉及基础的编程知识,有的则深入到安全漏洞的挖掘和利用;有的要求分析代码的逻辑结构,有的则需要判断潜在的安全风险。原创 2024-03-15 17:05:39 · 476 阅读 · 0 评论 -
揭秘!企业什么情况下急需代码审计工具?
代码审核工具——企业安全开发过程中的“定海神针”原创 2024-03-14 14:12:53 · 672 阅读 · 0 评论 -
了解代码安全,一篇文章搞懂白盒检测(SAST)及其作用
白盒检测工具SAST的发展历程、价值、关键技术及工作原理原创 2024-02-26 14:34:51 · 746 阅读 · 1 评论 -
SBOM那么重要,到底是怎么生成的?
SCA工具作为当下开源软件治理和软件供应链安全管理重要工具之一,生成SBOM是其重要核心功能之一原创 2024-01-12 11:30:48 · 1053 阅读 · 0 评论 -
第一新声采访:信创网安市场逐渐增长,开源网安积极探索信创商业模式
开源网安研发中心高级总监徐瑞祝受邀接受“第一新声”关于“信创网安行业发展”的采访原创 2023-10-20 14:02:24 · 153 阅读 · 0 评论 -
模糊测试面面观 | 车联网场景模糊测试解决方案
提升智能网联汽车软件系统的安全性和健壮性,建立公司品牌可信基础,提升车型安全竞争力。原创 2023-10-19 13:53:55 · 102 阅读 · 0 评论 -
模糊测试面面观 | 电动汽车充电桩安全漏洞案例分享
基于GB/T 27930-2015通信标准的电动汽车充电系统的三大安全漏洞原创 2023-10-16 10:28:21 · 143 阅读 · 0 评论 -
模糊测试面面观 | 车载以太网协议DOIP模糊测试实践案例分享
发现测试目标潜在问题,高效检测出未知漏洞原创 2023-09-22 10:37:37 · 370 阅读 · 0 评论 -
模糊测试面面观 | 揭示真实世界中的漏洞发现过程
真实世界中的漏洞是如何被发现的?原创 2023-09-12 09:41:34 · 75 阅读 · 0 评论 -
模糊测试面面观 | 模糊测试对软件质量和性能的影响
构建更为安全、高效和稳定的数字化未来原创 2023-08-22 10:00:18 · 89 阅读 · 0 评论 -
由银行保险业科技外包供应商安全风险事件,看金融行业供应链安全
把握住软件供应链每个关卡,莫让小小漏洞成为洪水猛兽原创 2023-08-23 10:01:42 · 151 阅读 · 0 评论 -
模糊测试面面观 | 模糊测试是如何准确定位问题的?
能否准确定位问题是模糊测试工具的重要考核指标原创 2023-09-05 10:27:12 · 100 阅读 · 0 评论 -
模糊测试面面观 | 模糊测试是如何发现异常情况的?
监视器在协议模糊测试中扮演的重要角色原创 2023-09-01 13:41:52 · 1355 阅读 · 0 评论 -
谈「效」风生 |“效能指标”,该由谁来定义?
如果一个指标,不能引导团队去做质量改进,就没必要去度量原创 2023-08-03 09:55:29 · 113 阅读 · 0 评论 -
《生成式人工智能服务管理暂行办法》即将施行,企业在AI研发过程中如何把控风险
如何响应监管要求,把控研发过程中的合规风险原创 2023-07-24 18:18:27 · 121 阅读 · 0 评论 -
没点本事,还真做不好数字化转型
铸造“安全盾牌”,保障油气建设新引擎原创 2023-08-09 09:45:07 · 87 阅读 · 0 评论 -
模糊测试是如何高效挖掘漏洞,精准定位问题的?
高效检测软硬件系统中的未知漏洞原创 2023-08-11 09:38:44 · 158 阅读 · 0 评论 -
模糊测试面面观 | 模糊测试工具知多少
如何选择适合自己的模糊测试工具原创 2023-08-17 09:58:55 · 1132 阅读 · 0 评论 -
如何轻松应对广泛存在开源“0Day”
如何快速实现0Day漏洞的影响溯源原创 2023-07-05 11:44:26 · 225 阅读 · 0 评论 -
网安云新品速递 | 渗透测试服务,助力企业业务安全发展
助力企业评估抵御入侵或攻击的能力,弥补和提升企业安全防护能力原创 2023-07-13 09:48:29 · 528 阅读 · 0 评论 -
网安云新品速递 | 源代码安全审计服务,将安全漏洞扼杀在“摇篮”里
采用工具分析与安全专家审查 “双效合一” 的审计方式,对软件源代码安全漏洞和软件中的开源组件漏洞进行全面评估,并根据漏洞信息提供代码级修复建议,协助客户从代码层面修复安全漏洞,帮助提高应用系统的安全性和健壮性。如今,企业大多把目光聚焦于软件上线后的安全测试,如漏洞扫描、渗透测试。结合客户的实际业务场景与团队情况,挖掘软件安全漏洞背后更加深层次的原因,发现客户开发团队的安全盲区,为客户的开发团队进行定制化、有针对性的安全开发培训,帮助开发团队提升安全开发能力,降低未来软件开发过程中引入安全漏洞的可能性。原创 2023-07-07 09:36:05 · 111 阅读 · 0 评论 -
DevSecOps实践:如何在研发过程中做好供应链安全
DevSecOps与供应链安全很多企业都建立了DevOps流程,但安全基本还处在流程之外,没有融入传统Dev原创 2023-06-28 11:03:17 · 519 阅读 · 0 评论 -
黑盒、白盒、灰盒,如何选择合适的模糊测试工具?
选择适合需求的模糊测试工具,提高漏洞发现和系统安全性原创 2023-06-16 11:09:02 · 1244 阅读 · 0 评论 -
网安云新品速递 | 移动应用安全检测服务,为App合规与安全保驾护航
开源网安旗下软件安全SaaS平台——网安云 全新推出 “移动应用安全检测服务”,覆盖Android APP、iOS APP两大领域,基于动静双引擎检测技术,对移动应用潜在安全问题进行全面、深度的检测,且严格按照国家标准和行业规范,与CNNVD、CVE等国内外权威漏洞库联动,帮助您减少APP“带病上线”的概率,增强应用安全性、合规性。近年来,移动应用安全攻击事件频发,衍生出的用户数据安全问题,也逐渐成为用户、社会,乃至整个国家高度重视的问题。基于双擎检测和深度学习,检测速度比同类型检测产品快数倍。原创 2023-06-15 10:23:53 · 1192 阅读 · 0 评论 -
Qt弱加密漏洞分析
一旦浏览器收到带有HSTS头的响应,它将记住该网站必须通过HTTPS进行访问,并在未来的请求中自动将所有HTTP请求重定向到HTTPS。Qt是一个开源的软件,可以去定位相关的代码,笔者在netword/access/qhsts.cpp中发现了产生漏洞的代码。成因是Qt错误的解析了HSTS header,当大小写不匹配的时候,即使服务器明确禁止,客户端也会使用未加密的连接。但是当服务器返回的响应头的HSTS头部是Strict-Transport-security,此时Security的S变成了s。原创 2023-06-16 11:10:40 · 2035 阅读 · 0 评论 -
如何高效地实施SAST,避免软件带病上线?
开源网安代码审核平台(CodeSec)是全新一代静态应用安全测试(SAST)解决方案,主要用于软件代码安全审核和质量分析,提供漏洞详情和修复方案,帮助开发、测试和安全团队在软件安全开发的早期发现并修复漏洞,降低软件安全问题的修复成本,提升软件安全质量,不断提高软件开发人员的安全开发水平。一方面,SAST可以帮助检测现有的代码缺陷。针对高优先级安全问题,需要立即进行修复,中等优先级的安全问题应在适当的时间内纠正,并且低优先级的安全问题建议进行修复,但可待开发周期后较低优先级问题修复时,再进行修复。原创 2023-05-17 19:31:31 · 412 阅读 · 0 评论 -
典型的软件供应链攻击事件有哪些?我们又该如何应对?
软件供应链安全风险加剧,我们该如何应对?原创 2023-05-31 13:57:41 · 296 阅读 · 0 评论 -
某互联网银行绿色金融背后的“安全秘诀”
把控开源组件风险,推送绿色经济发展原创 2023-06-15 10:21:04 · 305 阅读 · 0 评论 -
一文读懂云原生安全
RASP在云原生安全中的应用原创 2023-06-07 14:04:39 · 136 阅读 · 0 评论 -
公司小,就不会被黑客攻击?
原创 2023-06-14 10:30:38 · 43 阅读 · 0 评论 -
谈「效」风生 | 「自动化」聊起来简单,做起来难
其实,我们在要求提升迭代速度的时候,需求和研发速度提升,使得测试任务加剧,测试时间被严重压缩,产品功能越来越多,测试的范围也越来越大。简单的说就是,测试不够用了。第二个单点突破就是实现自动化测试,这部分其实是比较难做的部分,不仅是要考虑合适的工具,更重要的是系统性考虑开发流程、产品架构、技术栈等,自动化测试的目的就是快速反馈研发中的安全质量问题。首先,需要明确研发自动化的目标和要求,虽然也是从单点开始做,但需要一个整体的目标,如提高研发效率多少、降低多少成本、团队资源配置等,这是考量我们自动化能力的指标。原创 2023-05-12 19:57:30 · 512 阅读 · 0 评论 -
软件物料清单:打开软件资产黑匣子的关键钥匙
传统的软件资产管理,更多地停留在软件版本、类型、名称、供应商等维度,对软件内部成分信息模糊,软件资产成为一个“黑匣子”,看不清摸不透,安全不可控。同时,开源网安软件物料清单管理平台通过对软件组成成分实时采集与分析,业务无感知,帮助企业及时获取最新的软件安全态势信息,根据内外部安全环境的变化快速调整安全策略,提高安全风险应急能力。,当某个“零配件”存在安全隐患时,产品制造商通过这个物料清单,就能快速确认该“零配件”被应用到哪个批次、版本的产品上,及时通知到对应的客户,降低因为产品安全问题带来的损失。原创 2023-05-19 18:02:08 · 174 阅读 · 0 评论 -
谈「效」风生 | 如何找到现有研发体系的「内耗问题」?
例如,团队成员、需求、代码的关系,团队成员有新有老、需求有大有小,代码有多有少,如何定义经验水平、如何定义需求颗粒度,提交的代码缺陷等级与缺陷数量的关系如何。比如说:两个研发人员提交代码,都出现5个缺陷,第一个人出现了5个之前我们没遇到的缺陷,第二个人出现的是5个我们之前多次出现修改的缺陷,这是人员的能力差异,从指标上可以准确反映。接下来不管是做DevOps还是DevSecOps,我们都需要设计新的流程,之前所找到的「内耗问题」,也是我们技术价值流中流动性过慢的问题,从而导致研发非常低效。原创 2023-04-27 18:10:01 · 345 阅读 · 0 评论