中科天齐软件原生安全

摘要： 在当今快速发展的软件开发领域，代码质量是决定软件成功与否的关键因素之一。静态代码检测作为一种重要的质量保障手段，正逐渐成为软件开发流程中不可或缺的一部分。通过对代码的静态分析，在不运行代码的情况下发现潜在的缺陷、漏洞和不符合规范的地方，从而帮助开发人员提前修复问题，提高代码的可靠性和可维护性。 一、 阅读全文

摘要： 静态代码检测是在软件开发阶段提高软件安全性的重要手段。静态代码检测不需要执行应用程序，直接面向源代码检测代码的编码规范、缺陷及安全漏洞。通过字符串匹配、数据流分析、控制流分析、抽象语法树的语义分析等手段进行路径遍历，完成对状态空间所有路径的近似分析，并可以直接定位到问题代码，在软件上线运行前解决问题 阅读全文

摘要： 2023年Verizon数据泄露调查报告揭示了一个令人震惊的事实：基本的Web应用攻击占到了全部数据泄露案例的近四分之一。尽管这些攻击并非最复杂，但像凭据填充和SQL注入这类常见网络攻击仍在网络安全领域造成巨大破坏——就像网络钓鱼和新兴的基于AI的攻击一样。根据该报告，弱密码是这些低级攻击成功的主要 阅读全文

摘要： DevSecOps将开发(Dev)、安全(Sec)和运维(Ops)紧密结合，并将安全检查贯穿于软件开发生命周期(SDLC)的各个阶段。这种方法解决了开发、安全和运维团队之间的脱节问题，能够保障持续集成和持续交付(CI/CD)管道的安全，并生产高质量的软件。随着网络攻击的增加，DevSecOps已经成 阅读全文

摘要： 静态代码分析工具SAST 静态软件安全测试工具在不需要执行程序的情况下，获得程序编译时信息，并根据这些信息对特定的漏洞模式进行检测，从而完成软件的安全分析。静态分析考虑了程序所有可能的运行情况，稳妥的分析策略使得分析结果具备可靠性。 静态分析的本质是建立程序的一个状态模型，分析程序是如何在这些状态之 阅读全文

摘要： WuKong是一款国产静态代码检测工具，在不运行程序的情况下，直接对源代码进行检测，涉及编码规则规范、安全漏洞及运行时缺陷。目前已支持十多种编程语言，支持国家标准、行业标准及国际标准。 WuKong在代码检测方面有以下优势： 检测“深度”更深 技术团队针对性地研究了软件安全测试中的关键难点问题——如 阅读全文

摘要： 在当今的数字时代，网络安全比以往任何时候都更加重要。随着网络攻击手段日益复杂以及组织必须保护的数据量不断增加，人工智能(AI)在网络安全领域的应用已成为应对这些威胁的有力工具。然而，与任何技术一样，AI 在网络安全方面既有优势也有挑战。 在网络安全中使用人工智能的优势 1. 增强的威胁检测和预防 人 阅读全文

摘要： 在关键领域核心技术自主化浪潮下，WuKong作为完全国产化的静态代码安全检测平台，已获得百余项软著专利，并取得CWE国际兼容认证。工具不仅支持Python、Java等主流语言的检测，具备的C/C++深度分析引擎更能检测更多的深度安全问题，是智能驾驶、航天控制等领域的代码安全首选解决方案。 军工级缺陷 阅读全文

摘要： 在 Web 应用程序的安全领域，安全设计正从传统的被动防御模式向主动构建弹性系统转变。这种转变旨在将安全性从一种事后补救的措施，转变为软件开发的核心组成部分。无论是保护敏感数据、防止未经授权的访问，还是维护系统的完整性，安全设计都强调对潜在威胁的预测与有效缓解，从而确保系统在面对风险时具备更强的适应 阅读全文

摘要： 要理解静态应用程序安全测试(SAST)，首先需要将其与其他测试方法区分开来。例如，动态应用程序安全测试(DAST)主要在应用程序运行时进行分析，通过向应用程序发送请求来实时识别漏洞。而 SAST 则在不实际运行应用程序的情况下，对代码进行逐行扫描，检测编码错误、安全问题和其他潜在漏洞。通过这种方式， 阅读全文