manok的专栏

试用轩宇信息的高效软件成分分析系统，感觉还是一个比较好的一款产品。

供应链安全，静态分析

AI大模型生成的代码安全正成为软件代码来源的第四类，那前三类是什么呢？ 自研代码、购买的代码、开源代码，那么AI生成的代码则是第四类。

本章根据汇总资料通过AI生成，仅供参考

这些是与安全相关的课件

获取安全漏洞的代码特征信息是有效降低SCA误报，提升检测精度的方式之一。

很多SAST工具集成了FindSecBugs，这里是一些主要的检测规则。

克隆技术已在软件代码溯源分析领域得到广泛应用，而轩宇软件成分分析系统基于溯源分析和同源分析技术，通过先进的特征向量提取、相似性匹配、高效检索引擎等多项技术，帮助企业高效识别代码来源、评估自主可控率，并优化代码复用和变更情况。该系统具备强大的知识库支持，能够快速定位潜在安全漏洞和许可合规问题，为企业提供全面的软件成分管理和安全保障方案。

北大软件SCA在市场上并多见，难得拿到云上版本，进行试用，一睹来自于北京大学软件工程中心的产品。

最近了解一下Chatgpt-4到底发展到什么程度了，于是对知名的国内外几个AI平台都进行了初步试用。写几篇文章介绍一下试用心得。今天我先总结一下智谱清言，也就是国内的ChatGLM，聊天功能感觉接近Chatgpt-3.5，而我重点使用其对文档的解析和实施训练能力。

2023年12月初，新思科技发布了BSIMM 14。从报告上来看，我们能够清晰的看到2023年在软件安全领域发生的变化。

库博工具解决了不能编译就不能检测的痛点问题

MISRA C++ 2008主要是功能安全，共有规则228条。划分一级分类和二级分类，按照是否强制执行分为三个类别：文档、必要和建议。文档相当于MISRA C 2008中的指令类别，大多是一些编程要求，比较难于通过SAST技术实现。

AUTOSAR联盟于2017年3月发布了新版本的AUTOSAR标准，称为”Adaptive Platform”,中文翻译为“自适应平台” 。自适应平台的API是使用C++语言实现的，也决定了C++将成为自适应平台软件的主要开发语言。

MISRA C 2012目前已经修订了多次，最近版本是AMD2，已经支持C11标准。MISRA主要是功能安全，而CERT C/C++则更多的关注安全威胁。MISRA C 2012:AMD2总计规则数175条，其中规则158条，指令17条。其中指令基本上是无法被SAST工具所检测分析的。175条规则中强制为15条、必要规则120条、建议规则40条。

Synopsys，中文新思作为应用安全领域最强公司，一直占据gartner魔力象限的第一的位置，那么它的静态分析工具Coverity支持那些缺陷的检测呢？今天我简单整理了一下，并没有与其全部checker进行对齐，大家通过这些列出的缺陷，可以洞见新思在C/C++开发语言的缺陷检测方面下的功夫，覆盖了我们能想到，或者不能想到的很多类型缺陷。竞争条件(Race conditions)缺失的/不充分的恶意数据和字符串输入的验证。Microsoft COM内存泄漏。未初始化的指针/标量/数组读写。

前面我们介绍了Cobot、QAC、Coverity工具中的静态属性度量，今天我们了解一下Klocwork所具有的度量属性。主要包括两类，对类的度量和对方法/函数的度量。

简单来说，这些缺陷通常只有当程序执行起来以后，才能逐渐暴露出的缺陷，一般是需要在调试和运行期间发现这类缺陷，但是静态分析技术，通过区间计算、常量折叠等技术是可以通过静态扫描程序发现大部分运行时缺陷的。尤其是C、C++开发的嵌入式软件，更要关心这些缺陷，因为C/C++开发的嵌入式软件，大多数与互联网物理隔绝，安全漏洞倒是不用太过于关注，而由于程序本身缺陷导致的运行时缺陷才应该是最关注的。当初华为试用了很多款工具，通过列举了很多运行时缺陷，尤其是缓冲区溢出缺陷，看看哪家工具最强。下面我列出了常见的运行时缺陷。

这里我们列举了Coverity、Cobot、代码卫士、Klocwork、QAC、C++ test几款典型的SAST工具，看看他们都是支持那些C、C++标准（主要是C、C++标准，其它语言较少）呢？ 这可以作为厂商研发的方向标。

供应链安全不仅仅是开源组件安全，开源软件安全更不不容忽视

除了Java语言，C#语言之外，C、C++语言是编译器类型最多的编程语言，有几十种编译器，这些编译器方言为研发SAST工具带来了巨大的工作量，很多产品由于无法适配客户的编译器，导致无法检测。下面我们罗列一下国外和国内对C、C++最强的SAST工具，支持的编译器数量。当然Cobot的优势在于使用了代码补齐技术，在编译不通过情况下，一样可以完成检测，而很多工具，编译不通过不能进行检测，或检测结果不具有可信性。

代码审计

Checkmarx是一家以色列高科技软件公司，是世界上著名的代码安全扫描软件Checkmarx CxSAST的生产商，拥有应用安全测试的业内前沿解决方案-CxSAST、CxOSA、CxIAST。分别对应的SAST、SCA和IAST三类应用安全测试类型工具。Checkmarx CxSAST主要功能是查找安全漏洞、质量缺陷、逻辑问题和后门代码。是一个独特的源代码分析解决方案，该工具可用于识别、跟踪和修复源代码中技术上和逻辑上的缺陷，比如软件安全漏洞、质量缺陷问题和业务逻辑问题等。Checkmarx使用

log4j安全漏洞能够从代码级别上和软件成分分析上两个维度上进行检测。

源代码审计，最近比较火爆，我们是创新的源代码审计课程。

源代码审计依据的国家标准GB/T 34944 、GB/T 34943、GB/T 34946。 而仅仅依据这三个标准还不够，1是仅仅覆盖了C/C++、Java和C#语言；2是安全漏洞类型仅仅有43个类型，也是不够的；3另外，需要检测工具落地，结合人工复核技术，真正落实源代码审计中，对误报进行分析，对于漏报漏洞可能性进行分析。

2020年初的疫情危机前面，党中央和国务院审时度势、果断应对、科学防控，以巨大的制度优势和战略自信带领全国人民取得了疫情阻击战的阶段性胜利，病毒仍然在世界范围内迅速蔓延，世界各国经济发展遇到了挑战。恢复经济的着力点在哪里，成为政府和各界热议的话题。3月4日，中央政治局常务委员会会议强调，加快推进国家规划已明确的重大工程和基础设施建设，加快5G网络、数据中心等新型基础设施建设进度，再次...

在软件代码安全领域，是上周以色列Checkmarx公司被私募股权公司以惊人的11.5亿美元注资收购。Checkmarx公司是应用程序安全测试方案的全球领导者，一直专注于软件静态分析工具研发，其核心产品Checkmarx在全球享有非常高的知名度，具有大量用户。在静态分析工具领域，2019年是一次比较大的收购是GitHub收购Semmle公司，官方没有公布收购价格，但是Semm...

随着开源技术在云计算、大数据、AI领域的不断运用，不断破除技术壁垒，让企业快速建立自身的应用，在开源软件基础一，自主研发部分代码，便可以推出企业自身品牌的产品，开源技术的应用极大的推动了云计算、大数据、AI等领域的快速发展。但是开源软件的引用不可避免的带来了知识产权、信息安全等方面问题。根据Gartner统计，98%的企业管理者并不知道自己研发产品里的成分、...

由第一计算平面迁移到第二计算平面，也就是由原来的X86架构迁移到ARM架构，必将成为中国IT行业发展历史上的重要里程碑。当性能和安全摆在企业面前，让我们选择时，安全当然是被放在第一的位置。但是ARM架构处理器的性能本身还是非常优秀，最早ARM架构的处理器多由于军工领域和民用的视频音频解压缩处理领域。现在华为获得ARM的授权，在鲲鹏处理器研发上不断推出处理器，解决了服务器最核心的CPU...