1 2 3 4 5 ··· 12 下一页
[置顶] 静态代码检测工具Wukong对log4J中的漏洞检测、分析及漏洞修复
摘要: 一、简介 最近的Log4J漏洞(CVE-2021-44228)正造成网络大乱,其影响力不亚于早期的HeartBleeding漏洞。2.0-beta9 ~ 2.14.1版本的Apache Log4j2均存在改漏洞,可以说直接影响了大部分基于Java的应用。该漏洞最早被阿里云安全团队发现并验证,随即被A 阅读全文
posted @ 2021-12-15 17:30 中科天齐软件原生安全 阅读(1154) 评论(0) 推荐(0)
2025年6月3日
持续部署风险大吗?存在哪些安全问题
摘要: 采用持续部署可以大大加快软件交付速度,但也引入关键的安全挑战。近年来,一些严重的全球规模安全漏洞(Solarwinds 和 Kaseya等)与软件交付基础设施的漏洞有关。 持续部署可能会使情况变得更糟。随着代码变更为自动推送到生产环境,出错的余地缩小,而安全漏洞的影响可能会瞬间放大。 这些问题引发了 阅读全文
posted @ 2025-06-03 15:48 中科天齐软件原生安全 阅读(9) 评论(0) 推荐(0)
2025年5月23日
静态代码检测工具如何借助人工智能提高检测能力
摘要: 人工智能的发展为代码编写及代码安全注入新的力量,越来越多的工具开始运用人工智能技术来提高代码编写速度及代码安全性。 利用人工智能辅助编写代码的工具,如‌GitHub Copilot、‌Cursor等通过代码补全、代码片段生成等功能,极大提高了代码编写速度,而将人工智能应用到代码检测工具中,不但能弥补 阅读全文
posted @ 2025-05-23 16:46 中科天齐软件原生安全 阅读(22) 评论(0) 推荐(0)
2025年5月7日
数据隐私和数据安全的区别
摘要: 在当今的数字时代,大量个人和企业信息在网上共享和存储,我们经常会看到两个术语:数据隐私和数据安全。虽然它们密切相关并且对于保护敏感信息至关重要,但它们涉及信息保护的不同方面。了解它们之间的区别是确保负责任地、安全地处理数据的关键。 什么是数据隐私? 数据隐私是指收集、存储、共享和使用个人信息的方式。 阅读全文
posted @ 2025-05-07 14:42 中科天齐软件原生安全 阅读(19) 评论(0) 推荐(0)
2025年4月16日
OWASP Top10 之软件和数据完整性故障
摘要: 随着攻击者越来越多地针对持续集成/持续交付(CI/CD)管道、开源组件和更新机制发动攻击,保护网络应用的代码和数据完整性比以往任何时候都更为重要。 什么是软件和数据完整性故障? 软件和数据完整性失败是指系统未能充分防止对代码、配置或数据的未经授权的更改。这可能意味着一个应用程序下载了一个恶意的软件更 阅读全文
posted @ 2025-04-16 17:01 中科天齐软件原生安全 阅读(33) 评论(0) 推荐(0)
2025年4月9日
人工智能时代的 DevSecOps
摘要: 人工智能(AI)与DevSecOps的融合正在重新定义企业构建、保护和部署软件的方式。在组织加速功能发布的同时,如何在不拖慢开发进程的前提下管理安全风险并满足合规要求,已成为日益严峻的挑战。AI驱动的解决方案提供了一条主动识别漏洞、优化流程并实现实时强韧决策的创新路径。 DevSecOps的演进 D 阅读全文
posted @ 2025-04-09 16:24 中科天齐软件原生安全 阅读(19) 评论(0) 推荐(0)
2025年4月7日
为什么要进行静态代码检测?
摘要: 在当今快速发展的软件开发领域,代码质量是决定软件成功与否的关键因素之一。静态代码检测作为一种重要的质量保障手段,正逐渐成为软件开发流程中不可或缺的一部分。通过对代码的静态分析,在不运行代码的情况下发现潜在的缺陷、漏洞和不符合规范的地方,从而帮助开发人员提前修复问题,提高代码的可靠性和可维护性。 一、 阅读全文
posted @ 2025-04-07 16:11 中科天齐软件原生安全 阅读(31) 评论(0) 推荐(0)
2025年4月3日
静态代码检测工具WuKong有哪些作用?
摘要: 静态代码检测是在软件开发阶段提高软件安全性的重要手段。静态代码检测不需要执行应用程序,直接面向源代码检测代码的编码规范、缺陷及安全漏洞。通过字符串匹配、数据流分析、控制流分析、抽象语法树的语义分析等手段进行路径遍历,完成对状态空间所有路径的近似分析,并可以直接定位到问题代码,在软件上线运行前解决问题 阅读全文
posted @ 2025-04-03 15:03 中科天齐软件原生安全 阅读(23) 评论(0) 推荐(0)
2025年4月2日
10 种常见的网站安全攻击
摘要: 2023年Verizon数据泄露调查报告揭示了一个令人震惊的事实:基本的Web应用攻击占到了全部数据泄露案例的近四分之一。尽管这些攻击并非最复杂,但像凭据填充和SQL注入这类常见网络攻击仍在网络安全领域造成巨大破坏——就像网络钓鱼和新兴的基于AI的攻击一样。根据该报告,弱密码是这些低级攻击成功的主要 阅读全文
posted @ 2025-04-02 17:12 中科天齐软件原生安全 阅读(48) 评论(0) 推荐(0)
2025年3月25日
将 AI 和 DevSecOps 相结合:增强开发管道中的安全性
摘要: DevSecOps将开发(Dev)、安全(Sec)和运维(Ops)紧密结合,并将安全检查贯穿于软件开发生命周期(SDLC)的各个阶段。这种方法解决了开发、安全和运维团队之间的脱节问题,能够保障持续集成和持续交付(CI/CD)管道的安全,并生产高质量的软件。随着网络攻击的增加,DevSecOps已经成 阅读全文
posted @ 2025-03-25 14:46 中科天齐软件原生安全 阅读(33) 评论(0) 推荐(0)
2025年3月24日
静态代码分析工具SAST与CodeQL区别有哪些?
摘要: 静态代码分析工具SAST 静态软件安全测试工具在不需要执行程序的情况下,获得程序编译时信息,并根据这些信息对特定的漏洞模式进行检测,从而完成软件的安全分析。静态分析考虑了程序所有可能的运行情况,稳妥的分析策略使得分析结果具备可靠性。 静态分析的本质是建立程序的一个状态模型,分析程序是如何在这些状态之 阅读全文
posted @ 2025-03-24 13:45 中科天齐软件原生安全 阅读(43) 评论(0) 推荐(0)
1 2 3 4 5 ··· 12 下一页