weixin_56018002的博客

原创 如何开展代码安全审计

代码安全审计是指对软件代码进行全面、系统性的分析和检测，以发现其中可能存在的安全漏洞或风险，并提出改进建议的过程。通过检查代码中的逻辑错误和漏洞，如权限控制、输入验证、数据保护、错误处理等，提升应用程序的稳定性和可用性，减少意外的异常情况和系统崩溃的风险。开展代码安全审计的主要作用是帮助发现和修复软件应用程序中存在的各种安全隐患和漏洞，从而降低安全风险，提高系统的安全性。通过对代码的安全审计，开发者可以更好地了解有关代码安全的最佳实践，并避免在将来的开发过程中再次犯同样的错误。

原创 C/C++安全编程规范

此外，非法的指针操作也可能导致程序逻辑上的错误，例如将数据写入了错误的内存位置，从而破坏了其他变量的值。当程序遇到一个空指针时，它会访问该指针所指向的数据，但由于是空指针没有可供访问的实际数据存在，因此这将导致程序崩溃。安全编程是一种软件开发方法，目的是通过采取具体措施来减少程序中存在的安全漏洞和黑客攻击的可能性，确保软件在运行过程中不会遭受攻击或泄露敏感信息。对任何用户输入的数据，都必须进行输入验证，对于用户输入的所有数据，都应该进行校验和过滤，来确保输入的数据不包含恶意代码或不合法的字符。

原创 VUE实验：条件渲染与循环渲染

vue条件渲染指令包括v-if、v-else、v-else-if、v-show。在Vue.js中，实现循环渲染的指令是v-for指令。<input type="button" value="按票房进行排序" @click="sortMovie"><input type="button" value="反转" @click="reverseMovie">1.条件渲染：v-if指令、v-else指令、v-else-if指令、v-show指令。2.循环渲染：v-for指令，遍历数组，数组更新检测，遍历对象。

原创 2013-2017-2021 OWASP TOP10

2013版A9-使用含有已知漏洞的组件到A9:2017-使用含有已知漏洞的组件。2013版A10-未验证的重定向和转发到A10:2017-不足的日志记录和监控。A9:2017-使用含有已知漏洞的组件到A9:2021-安全日志记录和监控失败。A8:2017-不安全的反序列化到A8:2021-软件和数据完整性故障。A6:2017-安全配置错误到A6:2021-易受攻击和过时的组件。2013版A2-失效的身份认证到A2:2017-失效的身份认证。A5:2017-失效的访问控制到A5:2021-安全配置错误。

原创 结合JAVA、PHP和Python三种语言的特点，总结每种编程语言的安全编程规范

Java语言是一种面向对象的且具有多线程性质的语言，是目前世界上最广泛使用的程序语言之一。使用时要注意避免使用关键字，当我们编写程序时，如果在代码中使用了关键字，则可能会在编译时被忽略。Python是一种基于面向对象编程思想的高级程序设计语言，广泛应用于计算机编程，有强大的图形处理能力，而且易于使用与编写。在PHP中，存储在数据库中的用户名和密码是基于用户名和密码的。在开发Java的web系统时，建议使用struts或String框架进行开发，都是基于MVC模式的常用框架。对于权限问题能不给的就不给。

原创 代码审计的流程

原创 对比三种DevSecOps的安全工具

DAST工具比SAST工具具有更全面的方法，在软件运行时进行分析。除了分析软件本身之外，还可以扫描第三方应用的漏洞。SAST被称为白盒测试，测试人员可以在其中了解有关被测试代码的相关信息。它能够与集成开发环境结合自动扫描，来查明可能存在开放安全问题的构件的漏洞，检测代码问题，使漏洞发现的及时，越容易被修复，修复成本更低。容器扫描可以确保容器的安全和完整性，保护容器部署的环境和基础设施，并使其能够正常运行。容器扫描可确保软件供应链的运行以及团队容器基础设施的正确配置和保护。

原创 结合网络资源简述DevSecOps最佳实践

通过领导团队形成良好的企业文化，确保团队中的每个人都成为创建软件每一部分的负责人，能够承担责任。左移让DevSecOps团队能够及早发现安全风险，并确保立即解决这些安全威胁，提高产品质量和安全性，减少修复风险所需要的时间和精力。组织应在开发工程师、运营团队和合规团队之间形成联盟，确保组织中的所有人了解公司的安全状况，遵循相同的标准，以确保软件得到了充分保护。在DevSecOps流程中实现可跟踪性、可审计性和可视性获得更深入的洞察，确保高水平的安全性，降低风险，建立更安全的环境。

原创 简述DevSecOps 优势

在DevSecOps实践中，安全被集成到开发的所有阶段，集成安全性消除了重复评审和不必要的重新构建以帮助所有团队更敏捷地应对安全风险，消除了团队在生产周期中花费大量时间调整和修复的需要，从而使得DevSecOps更高效，成本效益更高。存在于在整个开发周期，对代码进行评审、审计、扫描和测试，来发现安全问题，并对发现的安全问题及时处理。同时团队之间更好的协作有助于改进组织对发生的事件和问题的响应。成熟的DevSecOps实现将具有坚实的自动化、配置管理、编排、容器、不可改变的基础架构甚至无服务区计算环境。

原创 简述划分软件安全威胁的分类

恶意代码的定义包括一系列对文件和进程中数据进行篡改或破坏的行为。尽管有很多描述文件、目录、文件夹或进程代码的方法，但仍然很难进行有效的分类。它是破坏了系统的安全保护措施并使系统不能正常使用。恶意代码是在未被授权的情况下，以破坏软硬件设备、窃取用户信息、干扰用户正常使用、扰乱用户心理为目的而编制的软件或代码片段。软件漏洞指攻击者通过可被利用的软件存在的安全漏洞，来获取对目标系统的访问权限或其他相关权利的行为。我个人也是这样认为。软件漏洞通常被认为是软件生命周期中与安全相关的设计错误、编码缺陷及运行故障等。

原创 简单区分代码审计和软件测试

软件测试就是一个很广泛的定义，是普通的安全测试，就是测试与软件相关的所有内容，是“为了发现错误而执行程序或者系统的过程”，这一定义明确了软件测试的目的就是为了发现程序中的错误。在对代码审计和软件测试进行区分时，要明确他们之间存在的差异，只有这样才能够更好地对其进行区分，从而在实际工作中，对其进行合理运用和处理。代码审计的目的是发现系统安全漏洞，主要是通过检查和分析编码的方式对系统进行安全检查，使我们能够找到普通安全测试无法找到的安全漏洞，减少因代码问题而导致的系统缺陷。

原创 划分软件安全威胁的分类

定义指出，恶意代码是软件或代码片段，其实现方式可以有多种，如二进制执行文件、脚本语言代码、宏代码或是寄生在其他代码或启动扇区中的一段指令。恶意代码是在未被授权的情况下，以破坏软硬件设备、窃取用户信息、干扰用户正常使用、扰乱用户心理为目的而编制的软件或代码片段。软件漏洞指攻击者通过可被利用的软件存在的安全漏洞，来获取对目标系统的访问权限或其他相关权利的行为。软件漏洞可能会造成软件在运行过程中出现的错误结果或运行不稳定、崩溃等现象，甚至引起死机等情况。软件漏洞是信息系统安全漏洞的一个重要方面。