- 博客(15)
- 收藏
- 关注
RSS订阅原创 MITRE公布2024 年“CWE TOP 25”
CISA表示:“这份年度名单确定了对手经常利用的最关键的软件漏洞,用来破坏系统,窃取敏感数据或破坏基本服务。为了创建今年的排名,MITRE在分析了31770个CVE记录后,根据其严重程度和频率对每个漏洞进行了评分,这些漏洞“将受益于重新映射分析”,并在2023年和2024年报告,重点关注CISA已知利用漏洞(KEV)目录中添加的安全漏洞。“这些漏洞通常很容易找到和利用,可能会导致可利用的漏洞,使攻击者能够完全接管系统、窃取数据或阻止应用程序运行,”MITRE 表示。
2024-11-25 11:10:01
580
原创 静态代码安全测试工具WuKong有哪些功能
支持以多种上传方式进行检测,如zip压缩包上传,SVN等形式拉取代码检测,以TFS、共享目录等形式直接访问代码等。在安全漏洞及缺陷等问题上,不但可以检测缓冲区溢出、及内存泄漏等错误在内的运行时缺陷,也可以检测SQL、XSS跨站脚本、弱密码等安全漏洞,支持跨文件跨函数的线程间共享变量数据竞争问题的检测。代码质量控制: 静态代码检测工具可以帮助开发团队在编码过程中发现潜在的代码质量问题,如代码规范性、安全漏洞等,提高整体代码质量。工具支持国产化环境,如龙芯、鲲鹏、飞腾、统信和海光等。
2024-11-19 14:51:01
439
原创 如何选择一款静态代码分析工具
静态分析的本质是建立程序的一个状态模型,分析程序是如何在这些状态之间转换的,通过字符串匹配、数据流分析、控制流分析、抽象语法树的语义分析等手段进行路径遍历,完成对状态空间所有路径的近似分析,以发现代码中存在的潜在缺陷以及安全漏洞,并提供修复建议。2. 逻辑错误:检测代码中的逻辑错误,例如条件语句的错误判断、循环语句的错误计数等,这些错误可能导致程序无法达到预期的结果。4. 代码风格:检测代码中的不良风格,例如过长的方法、过多的嵌套等,这些不良风格可能导致代码难以维护和扩展。④易于使用,通用性高。
2024-11-18 13:44:48
543
原创 SBOM 是安全软件开发的基石
SBOM的主要优点之一是提供透明性。除了有利于快速发现和修复安全漏洞外,当出现问题时,SBOM提供的软件组件详细信息可以帮助安全团队快速识别、隔离和修复受影响的部分,大大加快事件响应速度,最大限度地减少潜在损害。目前,一些自动化安全检测工具即可生成 SBOM清单,组织可以将其集成到软件开发周期 (SDLC)中,进行定期更新 SBOM 以反映软件中的更改,如添加新库或更新现有库。随着监管要求和标准化工作的进展,SBOM 将成为软件开发和安全策略的关键部分,确保应用程序在日益复杂的数字环境中的弹性和安全性。
2024-11-12 09:53:31
524
原创 在 DevSecOps 中平衡敏捷性和安全性的步骤
通过自动化执行安全任务,组织可以保持持续交付所需的速度和一致性,不会因为人工干预而减慢流程。自动化在开发周期的早期经常进行静态、动态及开源组件的安全测试,使开发人员能够在漏洞升级为更严重的问题之前检测到漏洞并进行修复。自动化工具可以在不中断开发周期的情况下执行静态代码分析、漏洞扫描和渗透测试,帮助团队更快地部署安全软件。由开发人员、安全专家和运营人员组成的跨职能团队需要无缝协作,来识别和解决安全问题,而不减慢流程速度。借助正确的策略和工具,组织可以实现快速、安全的交付管道。
2024-11-08 11:11:49
336
原创 什么是缓冲区溢出漏洞?
具体来说,攻击者可以通过精心构造特定的输入数据,利用缓冲区溢出漏洞覆盖程序的返回地址或关键数据,使程序跳转到攻击者指定的地址执行恶意代码。输入验证缺失: 输入验证往往是防止缓冲区溢出的关键环节,但在C/C++中,尤其是低级别的库和系统函数,程序员可能忘记或简化了输入验证过程,使得攻击者有机会提交过长的数据。编译器和操作系统级别的保护:利用现代编译器和操作系统提供的保护机制,如栈保护、数据执行保护(DEP)、地址空间布局随机化(ASLR)等,增强程序的安全性。拒绝无效或异常的输入。
2024-10-31 16:36:59
425
原创 保护 CI/CD 免受勒索软件即服务的攻击
对于企业来说,代码库是其宝贵的资产。然而目前勒索软件即服务 (RaaS)攻击以 CI/CD 管道为目标,劫持或破坏代码已成为一种趋势。首先来看下典型的勒索软件生命周期。感染:攻击者通常通过恶意依赖项、脚本漏洞或受损的构建服务器渗透到系统中。横向移动:他们暗中探索网络,寻找关键资源和代码存储库。加密:嵌入后,勒索软件有效载荷就会开始行动,加密文件和代码库。勒索:勒索赎金,或者随着时间推移威胁要永久加密数据或进行曝光。
2024-10-18 15:13:13
390
原创 不安全的反序列化
不安全的反序列化可能是许多攻击链的一部分,具体取决于特定应用程序如何处理反序列化以及它包含的其他漏洞。反序列化是在不同系统和环境之间传输数据结构的常规和必要部分,尤其是在处理 API 时,但是隐式地信任正在反序列化的数据可能会带来严重的安全风险。限制反序列化的类:一些编程语言和框架提供了限制反序列化的类的功能,开发人员应该使用这些功能来限制可以实例化的类的范围,以减少潜在的安全风险。避免反序列化不受信任的数据:如果可以的话,不要反序列化来自不受信任的来源的数据,尤其是来自外部 API 的用户输入或数据。
2024-10-12 11:32:34
631
原创 软件供应链风险评估:实现安全 SDLC有哪些步骤
软件供应链包含多个环节,如开发人员、基础设施组件、GitHub存储库等。而企业的软件供应链是否安全,取决于其最薄弱的环节。
2024-09-02 15:39:11
2035
原创 为什么选择国产静态代码检测工具
随着国产软件的使用及对安全要求提升,越来越多的企业在关注软件开发安全及代码安全的同时,逐渐将选择目光放在国产化代码检测工具上。国产工具在满足基本需求的前提下,可能以更低的成本提供更高的性能或更多的增值服务,比如根据企业实际开发情况进行的定制化服务,或者额外的需求。使用语言:国产工具在使用的语言上更多的是中文语言环境,并且可以更准确地进行问题描述和注释,易于开发人员及测试人员理解。合规适配:在特定行业或地区,可能存在使用国产工具的政策要求或推荐,以确保软件开发的合规性。
2024-08-28 15:28:16
297
原创 什么是静态应用程序安全测试 (SAST)?
SAST是一种白盒测试方法,通过直接面向源代码、字节码和二进制文件,检测是否存在缺陷和安全漏洞,由于不需要进行部署应用程序或代码,SAST 扫描可以在 SDLC 的早期进行,也因此可以为开发人员提供实时反馈,及时修复缺陷或漏洞,避免将问题传递到SDLC的下一步。SAST帮助组织自动化安全过程,实现对缺陷和漏洞的快速和准确的解决方案,并持续改进代码的完整性。SAST工具可以快速扫描数百万行代码,并自动识别关键漏洞,包括结构化查询语言注入、跨站脚本和缓冲区溢出,从而提高代码的整体质量。
2024-08-21 11:22:06
1635
原创 什么是动态应用程序安全测试? 和静态应用程序安全测试有什么区别?
因此,该测试使用与黑客相同的技术来识别漏洞。虽然DAST可以让安全团队及时了解web应用程序在生产中的行为方式,但公司通常会部署其他形式的安全测试,例如静态应用程序安全测试(SAST)和应用程序渗透测试。应用程序渗透测试为攻击者如何侵入特定的web应用程序提供了一个真实的演示,而SAST让开发人员在软件开发生命周期(SDLC)的早期发现应用程序源代码中的漏洞。通过SAST和DAST工具的检测,能够在应用程序开发早期发现缺陷或安全漏洞并及时修复,从而保护应用程序的良好运行,避免受到外部攻击。
2024-08-08 14:27:18
479
原创 国产源代码安全检测工具WuKong检测报告都有哪些内容
代码安全检测报告不仅能够反映出代码中的问题,而且可以作为不同团队(如开发、测试、安全等)之间沟通的桥梁。
2024-08-05 16:15:07
895
原创 在选择静态应用安全测试工具时需要关注哪几点?
静态应用安全测试工具是检测源代码安全,提高应用程序安全性的重要工具。在选择合适的SAST解决方案时需要关注以下几个重要因素。
2023-06-26 16:05:22
131
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人