软件测试
关注
分享
扫一扫
文章平均质量分 66
manok
软件行业的老兵,现在专注安全领域
展开
-
第四类软件代码——AI 生成代码的安全风险与解决方案
AI大模型生成的代码安全正成为软件代码来源的第四类,那前三类是什么呢? 自研代码、购买的代码、开源代码,那么AI生成的代码则是第四类。原创 2025-02-03 18:11:38 · 940 阅读 · 0 评论 -
智能软件测试方法探究
本章根据汇总资料通过AI生成,仅供参考翻译 2025-01-14 09:53:39 · 77 阅读 · 0 评论 -
克隆技术在代码溯源和复用及变更分析中的应用
克隆技术已在软件代码溯源分析领域得到广泛应用,而轩宇软件成分分析系统基于溯源分析和同源分析技术,通过先进的特征向量提取、相似性匹配、高效检索引擎等多项技术,帮助企业高效识别代码来源、评估自主可控率,并优化代码复用和变更情况。该系统具备强大的知识库支持,能够快速定位潜在安全漏洞和许可合规问题,为企业提供全面的软件成分管理和安全保障方案。原创 2024-08-30 16:22:44 · 1665 阅读 · 0 评论 -
MISRA C++ 2008 标准解析
MISRA C++ 2008主要是功能安全,共有规则228条。划分一级分类和二级分类,按照是否强制执行分为三个类别:文档、必要和建议。文档相当于MISRA C 2008中的指令类别,大多是一些编程要求,比较难于通过SAST技术实现。原创 2023-12-06 09:51:17 · 2561 阅读 · 0 评论 -
运行时错误/缺陷到底是什么缺陷
简单来说,这些缺陷通常只有当程序执行起来以后,才能逐渐暴露出的缺陷,一般是需要在调试和运行期间发现这类缺陷,但是静态分析技术,通过区间计算、常量折叠等技术是可以通过静态扫描程序发现大部分运行时缺陷的。尤其是C、C++开发的嵌入式软件,更要关心这些缺陷,因为C/C++开发的嵌入式软件,大多数与互联网物理隔绝,安全漏洞倒是不用太过于关注,而由于程序本身缺陷导致的运行时缺陷才应该是最关注的。当初华为试用了很多款工具,通过列举了很多运行时缺陷,尤其是缓冲区溢出缺陷,看看哪家工具最强。下面我列出了常见的运行时缺陷。原创 2023-11-28 15:00:04 · 695 阅读 · 0 评论 -
Coverity支持的静态质量度量12个
Coverity不亏支持下面12个代码度量属性,相对于Cobot、testbed是比较少,但是作为一款静态分析工具,这些度量不是很多企业所看重的。但是对于有些企业则是看重这些静态度量指标的。后面我再给大家找找国内支持静态质量度量的工具。原创 2023-11-28 14:20:51 · 475 阅读 · 0 评论 -
典型的SAST支持检测标准
这里我们列举了Coverity、Cobot、代码卫士、Klocwork、QAC、C++ test几款典型的SAST工具,看看他们都是支持那些C、C++标准(主要是C、C++标准,其它语言较少)呢? 这可以作为厂商研发的方向标。原创 2023-11-28 14:05:56 · 874 阅读 · 0 评论 -
Cobot与Jenkins集成
静态分析,代码检测,源代码审计原创 2022-06-19 16:17:55 · 857 阅读 · 0 评论 -
Log4j2安全漏洞引起的思考
log4j安全漏洞能够从代码级别上和软件成分分析上两个维度上进行检测。原创 2022-01-26 09:49:25 · 748 阅读 · 0 评论 -
新基建形势下安全公共服务平台建设机遇
2020年初的疫情危机前面,党中央和国务院审时度势、果断应对、科学防控,以巨大的制度优势和战略自信带领全国人民取得了疫情阻击战的阶段性胜利,病毒仍然在世界范围内迅速蔓延,世界各国经济发展遇到了挑战。恢复经济的着力点在哪里,成为政府和各界热议的话题。3月4日,中央政治局常务委员会会议强调,加快推进国家规划已明确的重大工程和基础设施建设,加快5G网络、数据中心等新型基础设施建设进度,再次...原创 2020-05-05 14:25:59 · 2253 阅读 · 5 评论 -
开源治理工具选一个
随着开源技术在云计算、大数据、AI领域的不断运用,不断破除技术壁垒,让企业快速建立自身的应用,在开源软件基础一,自主研发部分代码,便可以推出企业自身品牌的产品,开源技术的应用极大的推动了云计算、大数据、AI等领域的快速发展。但是开源软件的引用不可避免的带来了知识产权、信息安全等方面问题。根据Gartner统计,98%的企业管理者并不知道自己研发产品里的成分、...原创 2020-04-12 12:56:01 · 1360 阅读 · 0 评论 -
CoBOT Java安全漏洞检测类型与OWASP TOP 10对应关系
OWASP(Open Web Application Security Project)开放式web应用程序安全项目,是一个非营利性组织,不依附于任何企业或财团的安全组织,几乎每隔3年发布的OWASP TOP 10安全漏洞以及成为安全行业事实上的标准。各安全检测工具以支持OWASP TOP 10中的更多安全漏洞类型作为目标。 作者统计了OWASP 2004、2007、...原创 2020-03-27 21:21:49 · 1759 阅读 · 0 评论 -
RSA大会不断推动DevSecOps的成熟和完善
2020年RSA大会于2月24日至28日在美国旧金山召开,今年的会议主题为“Human Element”,人为因素被认为是影响未来网络安全发展最深远的主题。DevSecOps任然是大家关注的焦点之一。RSA创新沙盒是全球网络安全风向标,今年进入十强的安全厂商中近半数聚焦在应用安全领域。BluBracket和ForAllSecure是今年DevSecOps领域的创新厂商代表。我在整理一...原创 2020-03-15 23:08:54 · 439 阅读 · 0 评论 -
浅谈DevSecOps工具链中的源代码安全保障
近期,很多企业开始关注DevSecOps,下面根据作者对其理解,简单分析一下在DevSecOps的源代码安全该如何考虑和建设。主要分5部分:1、DevSecOps建设的背景和目的2、安全才是提升研发交付质量的第一要素3、安全自动化是安全交付的保障4、企业如何实施DevSecOps5、企业落实DevSecOps的动力正文:1 DevSecOps建设的背景和目的随着...原创 2020-02-11 18:08:16 · 2045 阅读 · 0 评论 -
VDG值依赖分析技术
北大软件CoBOT(库博)是具有自主知识产权的静态检测工具。在2013年获得了计算机软件著作权,基于值依赖分析的C程序缺陷静态检测系统。很多同行对值依赖分析的概念可能不是太清楚,今天我们主要分析一下这个技术。值依赖分析是建立在值流模型基础之上的,值流模型最早由Horwitz提出,值流图中结点与结点之间的连线表示的是数据流分析中的定值使用关系。值流依赖表示由于定值-使用连接的依赖关系。值流依赖关...原创 2019-11-26 15:59:15 · 1117 阅读 · 0 评论 -
谈谈测试视角或测试思维
这些天正好与朋友聊测试视角,如何培训建立测试视角,都认为还是有一定困难的,毕竟软件测试是门实践性的学科,经验积累还是很重要的,测试的项目多了,自然而然的思考的测试角度广了,深了。但是如果是培训的话,如何在一天配撇中,提升测试视角呢?其实应该也有一些方法,下面我通过一个小例子,谈谈如何建立测试视角。这是一个检测项目的页面,通过浏览器访问的,主要是通过新建项目按钮建立项目后,可以启动进行检测、中止...原创 2019-10-31 23:11:07 · 779 阅读 · 0 评论