[置顶] 静态代码检测工具Wukong对log4J中的漏洞检测、分析及漏洞修复
摘要: 一、简介 最近的Log4J漏洞(CVE-2021-44228)正造成网络大乱,其影响力不亚于早期的HeartBleeding漏洞。2.0-beta9 ~ 2.14.1版本的Apache Log4j2均存在改漏洞,可以说直接影响了大部分基于Java的应用。该漏洞最早被阿里云安全团队发现并验证,随即被A 阅读全文
posted @ 2021-12-15 17:30 中科天齐软件原生安全 阅读(1192) 评论(0) 推荐(0)
2025年11月12日
OWASP 在新的前 10 名榜单中强调供应链风险
摘要: OWASP于11月6日发布的更新是自 2021 年以来的首次重大前10榜单更新,其显著特点在于强调供应链风险和系统性设计缺陷,而不仅仅是常见的软件编码错误。对于防御者而言,关键要点在于需要将应用安全、软件供应链监督和运营韧性实践更紧密地结合在一起。 安全风险的真实本质 Keeper Security 阅读全文
posted @ 2025-11-12 16:06 中科天齐软件原生安全 阅读(34) 评论(0) 推荐(0)
2025年10月16日
了解漏洞管理和补丁管理
摘要: 漏洞管理和补丁管理经常被同时谈论,但二者实则不同。理解其区别不仅是语义层面的问题,更关乎安全本质。要构建坚固的防御体系,需明晰这两个流程如何协同运作:一个负责扫描弱点,另一个则提供修复方案。 什么是漏洞管理 漏洞管理是通过持续性的发现、评估与修复循环,主动识别、评估、划分优先级并缓解企业IT基础设施 阅读全文
posted @ 2025-10-16 11:34 中科天齐软件原生安全 阅读(31) 评论(0) 推荐(0)
2025年9月8日
人工智能时代的合规性:为什么强大的 CI/CD 基础很重要
摘要: 在人工智能驱动开发的时代,团队面临双重使命:既要利用代码生成工具的速度和创造力,又要坚守安全、隐私和合规性的标准。现代企业如何在不增加风险的前提下利用人工智能提升效率?答案在于构建坚实的CI/CD基础,将安全治理融入软件生命周期的每个阶段。 平衡速度与控制 CI/CD(持续集成与持续交付)旨在尽早发 阅读全文
posted @ 2025-09-08 15:47 中科天齐软件原生安全 阅读(18) 评论(0) 推荐(0)
生成式AI编码:创新与漏洞
摘要: 生成式AI(GenAI)正在重塑软件开发方式。GitHub Copilot、ChatGPT等工具已迅速成为现代开发工具包中不可或缺的一部分,这些工具有助于提高开发效率、减少重复性工作并加快产品上市速度。这些工具能够给出代码片段建议、自动生成文档、预测漏洞,甚至指导架构决策。我们正进入一个开发者不再仅 阅读全文
posted @ 2025-09-08 11:42 中科天齐软件原生安全 阅读(38) 评论(0) 推荐(0)
2025年8月13日
为什么基于 AI 生成的代码仍有不足
摘要: 人工智能(AI)已在多个行业用于流程自动化、提升效率、减少错误、数据分析和决策优化,帮助企业增强效率、创新力、生产力和客户满意度。软件开发领域同样引入了AI技术。 AI在软件开发中的作用 AI几乎已渗透至各个领域,软件工程也不例外。AI的融入正以多种方式重塑软件开发流程:自动执行繁琐任务、加速源代码 阅读全文
posted @ 2025-08-13 10:55 中科天齐软件原生安全 阅读(58) 评论(0) 推荐(0)
2025年6月3日
持续部署风险大吗?存在哪些安全问题
摘要: 采用持续部署可以大大加快软件交付速度,但也引入关键的安全挑战。近年来,一些严重的全球规模安全漏洞(Solarwinds 和 Kaseya等)与软件交付基础设施的漏洞有关。 持续部署可能会使情况变得更糟。随着代码变更为自动推送到生产环境,出错的余地缩小,而安全漏洞的影响可能会瞬间放大。 这些问题引发了 阅读全文
posted @ 2025-06-03 15:48 中科天齐软件原生安全 阅读(32) 评论(0) 推荐(0)
2025年5月23日
静态代码检测工具如何借助人工智能提高检测能力
摘要: 人工智能的发展为代码编写及代码安全注入新的力量,越来越多的工具开始运用人工智能技术来提高代码编写速度及代码安全性。 利用人工智能辅助编写代码的工具,如‌GitHub Copilot、‌Cursor等通过代码补全、代码片段生成等功能,极大提高了代码编写速度,而将人工智能应用到代码检测工具中,不但能弥补 阅读全文
posted @ 2025-05-23 16:46 中科天齐软件原生安全 阅读(61) 评论(0) 推荐(0)
2025年5月7日
数据隐私和数据安全的区别
摘要: 在当今的数字时代,大量个人和企业信息在网上共享和存储,我们经常会看到两个术语:数据隐私和数据安全。虽然它们密切相关并且对于保护敏感信息至关重要,但它们涉及信息保护的不同方面。了解它们之间的区别是确保负责任地、安全地处理数据的关键。 什么是数据隐私? 数据隐私是指收集、存储、共享和使用个人信息的方式。 阅读全文
posted @ 2025-05-07 14:42 中科天齐软件原生安全 阅读(68) 评论(0) 推荐(0)
2025年4月16日
OWASP Top10 之软件和数据完整性故障
摘要: 随着攻击者越来越多地针对持续集成/持续交付(CI/CD)管道、开源组件和更新机制发动攻击,保护网络应用的代码和数据完整性比以往任何时候都更为重要。 什么是软件和数据完整性故障? 软件和数据完整性失败是指系统未能充分防止对代码、配置或数据的未经授权的更改。这可能意味着一个应用程序下载了一个恶意的软件更 阅读全文
posted @ 2025-04-16 17:01 中科天齐软件原生安全 阅读(145) 评论(0) 推荐(0)
2025年4月9日
人工智能时代的 DevSecOps
摘要: 人工智能(AI)与DevSecOps的融合正在重新定义企业构建、保护和部署软件的方式。在组织加速功能发布的同时,如何在不拖慢开发进程的前提下管理安全风险并满足合规要求,已成为日益严峻的挑战。AI驱动的解决方案提供了一条主动识别漏洞、优化流程并实现实时强韧决策的创新路径。 DevSecOps的演进 D 阅读全文
posted @ 2025-04-09 16:24 中科天齐软件原生安全 阅读(67) 评论(0) 推荐(0)
下一页