[置顶] 静态代码检测工具Wukong对log4J中的漏洞检测、分析及漏洞修复
摘要: 一、简介 最近的Log4J漏洞(CVE-2021-44228)正造成网络大乱,其影响力不亚于早期的HeartBleeding漏洞。2.0-beta9 ~ 2.14.1版本的Apache Log4j2均存在改漏洞,可以说直接影响了大部分基于Java的应用。该漏洞最早被阿里云安全团队发现并验证,随即被A 阅读全文
posted @ 2021-12-15 17:30 中科天齐软件原生安全 阅读(1150) 评论(0) 推荐(0)
2025年5月7日
数据隐私和数据安全的区别
摘要: 在当今的数字时代,大量个人和企业信息在网上共享和存储,我们经常会看到两个术语:数据隐私和数据安全。虽然它们密切相关并且对于保护敏感信息至关重要,但它们涉及信息保护的不同方面。了解它们之间的区别是确保负责任地、安全地处理数据的关键。 什么是数据隐私? 数据隐私是指收集、存储、共享和使用个人信息的方式。 阅读全文
posted @ 2025-05-07 14:42 中科天齐软件原生安全 阅读(11) 评论(0) 推荐(0)
2025年4月16日
OWASP Top10 之软件和数据完整性故障
摘要: 随着攻击者越来越多地针对持续集成/持续交付(CI/CD)管道、开源组件和更新机制发动攻击,保护网络应用的代码和数据完整性比以往任何时候都更为重要。 什么是软件和数据完整性故障? 软件和数据完整性失败是指系统未能充分防止对代码、配置或数据的未经授权的更改。这可能意味着一个应用程序下载了一个恶意的软件更 阅读全文
posted @ 2025-04-16 17:01 中科天齐软件原生安全 阅读(19) 评论(0) 推荐(0)
2025年4月9日
人工智能时代的 DevSecOps
摘要: 人工智能(AI)与DevSecOps的融合正在重新定义企业构建、保护和部署软件的方式。在组织加速功能发布的同时,如何在不拖慢开发进程的前提下管理安全风险并满足合规要求,已成为日益严峻的挑战。AI驱动的解决方案提供了一条主动识别漏洞、优化流程并实现实时强韧决策的创新路径。 DevSecOps的演进 D 阅读全文
posted @ 2025-04-09 16:24 中科天齐软件原生安全 阅读(11) 评论(0) 推荐(0)
2025年4月7日
为什么要进行静态代码检测?
摘要: 在当今快速发展的软件开发领域,代码质量是决定软件成功与否的关键因素之一。静态代码检测作为一种重要的质量保障手段,正逐渐成为软件开发流程中不可或缺的一部分。通过对代码的静态分析,在不运行代码的情况下发现潜在的缺陷、漏洞和不符合规范的地方,从而帮助开发人员提前修复问题,提高代码的可靠性和可维护性。 一、 阅读全文
posted @ 2025-04-07 16:11 中科天齐软件原生安全 阅读(19) 评论(0) 推荐(0)
2025年4月3日
静态代码检测工具WuKong有哪些作用?
摘要: 静态代码检测是在软件开发阶段提高软件安全性的重要手段。静态代码检测不需要执行应用程序,直接面向源代码检测代码的编码规范、缺陷及安全漏洞。通过字符串匹配、数据流分析、控制流分析、抽象语法树的语义分析等手段进行路径遍历,完成对状态空间所有路径的近似分析,并可以直接定位到问题代码,在软件上线运行前解决问题 阅读全文
posted @ 2025-04-03 15:03 中科天齐软件原生安全 阅读(11) 评论(0) 推荐(0)
2025年4月2日
10 种常见的网站安全攻击
摘要: 2023年Verizon数据泄露调查报告揭示了一个令人震惊的事实:基本的Web应用攻击占到了全部数据泄露案例的近四分之一。尽管这些攻击并非最复杂,但像凭据填充和SQL注入这类常见网络攻击仍在网络安全领域造成巨大破坏——就像网络钓鱼和新兴的基于AI的攻击一样。根据该报告,弱密码是这些低级攻击成功的主要 阅读全文
posted @ 2025-04-02 17:12 中科天齐软件原生安全 阅读(16) 评论(0) 推荐(0)
2025年3月25日
将 AI 和 DevSecOps 相结合:增强开发管道中的安全性
摘要: DevSecOps将开发(Dev)、安全(Sec)和运维(Ops)紧密结合,并将安全检查贯穿于软件开发生命周期(SDLC)的各个阶段。这种方法解决了开发、安全和运维团队之间的脱节问题,能够保障持续集成和持续交付(CI/CD)管道的安全,并生产高质量的软件。随着网络攻击的增加,DevSecOps已经成 阅读全文
posted @ 2025-03-25 14:46 中科天齐软件原生安全 阅读(22) 评论(0) 推荐(0)
2025年3月24日
静态代码分析工具SAST与CodeQL区别有哪些?
摘要: 静态代码分析工具SAST 静态软件安全测试工具在不需要执行程序的情况下,获得程序编译时信息,并根据这些信息对特定的漏洞模式进行检测,从而完成软件的安全分析。静态分析考虑了程序所有可能的运行情况,稳妥的分析策略使得分析结果具备可靠性。 静态分析的本质是建立程序的一个状态模型,分析程序是如何在这些状态之 阅读全文
posted @ 2025-03-24 13:45 中科天齐软件原生安全 阅读(27) 评论(0) 推荐(0)
2025年3月13日
静态代码检测工具WuKong产品有哪些优势?
摘要: WuKong是一款国产静态代码检测工具,在不运行程序的情况下,直接对源代码进行检测,涉及编码规则规范、安全漏洞及运行时缺陷。目前已支持十多种编程语言,支持国家标准、行业标准及国际标准。 WuKong在代码检测方面有以下优势: 检测“深度”更深 技术团队针对性地研究了软件安全测试中的关键难点问题——如 阅读全文
posted @ 2025-03-13 15:40 中科天齐软件原生安全 阅读(22) 评论(0) 推荐(0)
2025年3月11日
在网络安全中使用 AI 的利弊
摘要: 在当今的数字时代,网络安全比以往任何时候都更加重要。随着网络攻击手段日益复杂以及组织必须保护的数据量不断增加,人工智能(AI)在网络安全领域的应用已成为应对这些威胁的有力工具。然而,与任何技术一样,AI 在网络安全方面既有优势也有挑战。 在网络安全中使用人工智能的优势 1. 增强的威胁检测和预防 人 阅读全文
posted @ 2025-03-11 11:43 中科天齐软件原生安全 阅读(50) 评论(0) 推荐(0)
下一页