shendong70的博客

为了构建安全的软件，构建者必须确保已经保护了所有相关的潜在漏洞。然而，要攻击软件，攻击者通常只需要找到并利用一个暴露的漏洞。 为了有效地应对软件攻击，防护者需要牢牢掌握攻击者的观点和用于利用软件系统的方法。以攻击者的视角进行软件安全防护, 了解对手的运作方式对于有效的网络安全至关重要。

CWE TOP 25 不仅是开发人员和安全专业人士的宝贵资源，而且还为在软件、安全和风险管理投资方面做出明智决策的组织提供了战略指南。

在软件开发和维护过程中，资源是有限的。通过明确缺陷的危险等级，可以帮助团队合理分配资源。同时缺陷危险等级为风险评估提供了一个量化的指标，可以更好地管理项目风险。本文将从软件静态分析工具、开发规范、国家标准、以及评估体系多个角度讨论软件缺陷等级的划分方式，以便对软件缺陷检查工具、软件缺陷管理中缺陷等级的划分起到一定的指导作用。

CodeNavi 是一种用于编写静态检查规则的DSL语言。介绍 CodeNavi 中节点的通用属性。每个节点会有一些基础属性，用于得到这个节点所在类、函数、if、for、foreach、while或 try、catch 中的位置。

近期专家们观察到越来越多的 AI/ML 造成具体的 CVE 漏洞之后，为了防范 AI/ML 对应用安全造成的影响，CWE 快速推出了 CWE 4.15 版本。

随着智能手机的快速发展，移动应用已经成为我们日常生活关系最密切的软件应用。开放全球应用程序安全项目（OWASP）基金会，致力于提高软件的安全性。自 2014、2016年发布了移动应用的十大风险后，今年再次发布2024版。这对移动应用软件的检查工具有着重要的指导作用。

CodeNavi 是一种用于编写静态检查规则的DSL语言。本篇将介绍 CodeNavi 中代码里函数、类/接口声明、注解，以及注释的节点和节点属性。

CodeNavi 是一种用于编写静态检查规则的DSL语言。本篇将介绍中代码里语句和代码块对应 CodeNavi 的节点和节点属性。 语句节点包括：赋值语句；控制流语句包括：跳转语句、条件控制、Switch控制、循环控制、异常处理、静态语句、同步代码块。

继续介绍 CodeNavi 检查规则语言如何描述代码中的表达式。这些节点主要包括：对象创建表达式、强制类型转换、类型判断表达式、一元表达式、二元表达式、条件表达式/三目运算、方法引用表达式、lambda表达式，以及匿名内部类表达式。

代码检视是代码可读性、可维护性、规范遵从、团队内部学习和教育，以及把关和事故预防的重要手段。本文通过运用代码检视的检视表的方法，对代码常见的安全问题进行了覆盖，进一步降低代码安全问题的发生。

最近关于控制电动车停驶，以及苹果手机监控的故事，让人们更加的关注软件的安全性问题，特别是工业软件的安全性。如何保障工业软件的安全性，CWE 4.14 版本中 CWE 与 ISA/IEC 62443 规范的映射，进一步给出了软件缺陷的指导

在DevSecOps的应用过程中，静态分析工具在开发阶段承担着非常重要的代码质量和安全的看护任务。本文根据开发过程的不同位置的开发环境、代码特征以及检测工具能力的差异，提出了需要因地制宜地部署检查工具，形成递进的三层代码安全防御体系，从而提高应用软件整体安全性，同时又能有效的贯彻安全左移的策略，降低安全问题的维护成本。

1. 历史上最大的勒索软件攻击7月2日勒索组织REvil，攻击了一家来自瑞典的IT管理服务提供商(managed service providers(MSP)) – Kaseya。Kaseya的VSA(虚拟系统管理)是一个基于云的管理服务提供商(MSP)平台，该平台为客户提供了一套基于Web的新一代自动化IT系统管理解决方案。MSP通过建立自己的网络运作中心(Network Operating Center(NOC))来为企业提供 24×7×365 的系统管理服务的业务。MSP可以实现对客户的IT系统的