QECon 2020 (9月上海站)
QECon大会的视频和PPT都没有提供在线浏览,不过关注QECon的公众号可以下载到9月的PPT。访问QECon的这篇推文,点击“阅读原文”可获取直接获取到所有PPT。
安全测试整体认知篇🔽
数字经济时代的安全认知与保障
会议总结
- 主讲人:李炼 - 中国科学院研究员、博士生导师、中科天齐董事长
- 信息时代发展,从PC时代到Internet时代,到现在的数字经济时代。数字时代网络安全漏洞无处不在,不仅有手机流氓软件,还有各种有组织地持续攻击。银行系统、电商平台……每年都有很多平台因安全漏洞遭受重大经济损失。如何提高应用本身的安全性?需要一系列的自动程序分析,包括静态安全检测、加固及运行时防护、动态安全测试。
- 静态安全检测
- 未知安全漏洞检测工具:静态分析软件动态执行状态及行为。现有工具Coverity/Foritify/CheckMarx等
- 已知安全漏洞检测:已知系统版本/Security Patch检查。开源第三方组件检测,通过比较代码相似度检测是否复用第三方组件。
- 动态分析检测
- IAST工具,测试时动态运行时监测,插桩原有程序得到精确运行时状态
- 动态运行时日志分析
- 自动测试生成,黑盒/白盒/人工渗透
- 加固及运行时维护
-
<