weixin_61896252的博客

原创 综述如何开展代码审计

在进行代码审计之前，需要确定审计的范围和标准，包括审计的目的、审计的时间、审计的深度等。符号执行是一种对源代码进行静态分析的高级方法，可以模拟程序执行的过程，通过对程序的所有可能路径进行分析，找出可能存在的安全漏洞和代码缺陷。在进行代码审计之前，需要对应用程序的功能、结构和逻辑进行充分的了解，有助于更好地理解应用程序的运行机制和可能存在的安全漏洞。C：代码质量评估：对被审计代码的质量进行评估，包括代码结构、规范性、可读性、可维护性等方面的评估。等工作,形成代码安全审计要点,制定代码安全的检查列表。

原创 C/C++安全开发指南

如strcpy_s、strcat_s、sprintf_s、snprintf等函数，它们都是带有长度参数的，可以确保不会写入超出缓冲区长度的数据。在进行文件操作时，需要判断外部传入的文件名是否合法，如果文件名中包含 ../ 等特殊字符，则会造成路径穿越，导致任意文件的读写。当开发中遇到较长的句子时，如果选择了复制粘贴语句，要检查每一行代码，不要出现上下两句相同的情况，这通常代表代码出现了错误。可以使用动态内存分配函数，如malloc和realloc，在运行时动态分配缓冲区，避免固定缓冲区大小不足的问题。

原创 对比DevSecOps的安全工具。

SAST最重要的元素之一就是源组成分析，能自动扫描代码，以查明OSS软件、OWASP、漏洞、错误、库和其他可能存在的漏洞；其次，它遵循国际公认的编码标准，可以更早的识别出不同类型代码中的安全漏洞，节省资金。它只是用扫描工具持续检查容器的过程，以确保它们按照应有的方式运行，至少确认软件供应链已启动并运行，并且开发团队的容器基础设施已经正确配置并保护。它有助于验证权限，以确保不同权限级别的安全性；可以检查跨站点脚本，SQL注入和其他常见的软件安全漏洞；DAST工具具有更全面的方法，在程序运行时进行分析。

原创 结合JAVA、PHP和Python三种语言的特点，总结每种编程语言的安全编程规范。

原创 简述DevSecOps优势和最佳实践

从开发周期就开始引入，发现问题后就立即处理，在引入其他依赖关系前，解决安全问题，同时有助于缩短修补漏洞的时间，还可确保并简化合规性，使其不必为安全性进行追溯。能使参与交付的每个人都熟悉安全性的基本原则，开发人员了解线程模型和合规性检查，并了解如何衡量风险以及如何实施安全控制。可跟踪性旨在跟踪开发周期中的配置项，确定代码实现需求的位置，有助于实现合规性，确保安全。DevSecOps的两个主要优势就是速度与安全性，能更快的交付更安全的代码，成本更低。5.可重复、自适应的过程。能快速管理新发现的安全漏洞。

原创 阐述OWASP TOP10的演变过程

Iniection注入攻击。Iniection注入攻击。缺少功能级别的访问控制。身份识别和身份验证错误。使用含有已知漏洞的组件。使用含有已知漏洞的组件。失效的验证与连接管理。不安全的直接对象引用。不安全的反序列化漏洞。软件和数据完整性故障。安全日志和监控故障*未验证的重定向与转发。

原创 采用思维导图的形式说明代码审计的好处和流程

原创 如何区分代码审计和软件测试？

代码审计：主要检查源代码中的安全缺陷，检察院代码是否有安全隐患或编码不规范的地方，通过自动化工具或者人工审查的方式对每条源代码进行检查和分析，发现漏洞并提供修改建议。它是一种一发现程序错误、安全漏洞和违反程序规范为目标的源代码分析，是对项目中源代码的分析，是防御性变成范例的一个组成部分，试图在软件发布前减少错误。软件测试：基本要求为进行外观界面测试、功能测试、易用性测试、性能测试、兼容性测试、安全性测试；主要的工作流程为需求分析、测试计划和测试方案、测试用例制定、测试用例执行、评估并写测试报告。

原创 如何划分软件安全威胁的分类？

软件漏洞：它通常被认为是软件生命周期中出现的设计错误、编码缺陷及运行故障。常说的漏洞包括软件错误、软件缺陷及软件失效；按时间维度上的漏洞产生的角度，可以分为0day漏洞、1day漏洞、历史漏洞。恶意代码：它是指未经用户授权就干扰及破坏计算机上的系统、网络程序的代码，也叫做恶意软件。软件侵权：就是指侵犯了他人软件的合法权益。通过一系列不正当手段篡改他人软件或未经同意操作他人软件及信息，就构成了软件侵权，是一种违法行为。软件面临的安全威胁的分类一般分为三类，分别为软件漏洞、恶意代码、软件侵权。

原创 综述代码审计在软件安全中的重要性和意义

总之，代码审计是整个安全保障体系中最核心且最重要的工作，经过一系列的审计过程后，系统能变得更加稳定、安全，测试报告也能使管理人员进行更好的决策，是一项不可或缺的重要工作。提前做好代码审计工作，最大的好处就在于能够在攻击者之前发现系统的安全隐患，从而能提前部署防范措施，保证系统及软件的安全运行；在进行代码审计的过程中，通过在对源代码的审查及撰写报告的过程中，能使开发人员及审计人员提高技能，能更好的进行对问题的解决。代码审计工作能对整个软件或者系统的源代码进行检查，从而发现隐患点；2. 能使人提高安全意识。