摘要:
什么是SAST? SAST(Static Application Security Testing)是构建安全代码的基础。在谈到左移安全性时,SAST是一个解决方案,其中包含一些强大的工具可以集成到软件开发生命周期中。 开发人员或许都熟悉静态应用程序安全测试 (SAST) 工具,并且每天都会使用集成 阅读全文
摘要:
一、简介 最近的Log4J漏洞(CVE-2021-44228)正造成网络大乱,其影响力不亚于早期的HeartBleeding漏洞。2.0-beta9 ~ 2.14.1版本的Apache Log4j2均存在改漏洞,可以说直接影响了大部分基于Java的应用。该漏洞最早被阿里云安全团队发现并验证,随即被A 阅读全文
摘要:
大多数人都可能有以下经历,在亚马逊上订购商品、通过优步叫车、在Airbnb上预订房间、在在 Netflix上看过电影或节目、在Instagram上发布过照片、在Pinterest上固定过商品或在谷歌上查了一些东西,在这期间无形中就在使用了Java。 简而言之,Java是一种让成千上万的应用程序和网站 阅读全文
摘要:
软件安全是网络安全的基础部分,软件应用程序中的漏洞可能对企业造成毁灭性的影响。随着数字化时代的加速发展,资产管理行业成为犯罪分子的“头号目标”。在软件上线前进行安全漏洞检测,提高软件安全可以有效增强网络安全性,降低被攻击风险。 最近一份调查显示,出于经济动机的网络犯罪分子逐渐关注资产管理行业,他们盗 阅读全文
摘要:
SonarQube 是一种流行的开源代码质量工具,也执行安全分析,非常适合大多数团队,但是,对于将安全视为重要要求的团队来说,它会有所不足,并且必须由更强大的安全分析工具来补充或取代。 什么是 SonarQube SonarQube 最初是作为源代码质量分析工具诞生的,然后迅速成为最常用的 DevO 阅读全文
摘要:
软件安全是网络安全的基础部分,现如今网络攻击频繁而又出人意料,确保网络系统中软件安全的高透明度,无疑会使企业网安防御系统“如虎添翼”。 在当前网络安全已被企业格外重视的前提下,来自第三方安全状况不透明的软件为企业网络带来很大风险。或者可以说,大数据时代,用来产生、存储、使用“数据”的主体软件安全状况 阅读全文
摘要:
根据IBM2021年数据泄露成本报告显示,大型数据泄露事件平均成本已增长至4.01亿美元,系统中存在漏洞的敏感数据模块为网络犯罪分子提供盗取数据的“契机”。 现如今的移动应用程序领域,为用户提供个性化的体验是打败竞争对手的关键。但在创建这样定制化体验的过程中需要采集个人数据,考虑到当前《数据安全法》 阅读全文
摘要:
当前,DevOps尚未成为DevSecOps,因此DevOps不安全,很多人都在讨论它,但很少有企业真正掌握它。那么,是什么导致的DevSecOps采用率如此之低? 关于DevSecOps,总结来看,人们认知中的这5个误区,对采用DevSecOps并实施存在一定阻碍。 误区一:DevSecOps是由 阅读全文
摘要:
本文主要为了助力企业有效防范软件安全漏洞,提升网络安全防护能力,本期主题为第五十期:可达的assertion的相关介绍。 01 什么是可达的assertion? 程序包含一个可以被攻击者触发的assert()或类似语句,这将导致应用程序退出或其他不必要的严重行为。 assertion(断言)在软件开 阅读全文
摘要:
本文旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。 final修饰符(关键字),若类被声明为final,意味着它不能再派生出新的子类,不能作为父类被继承。因此一个类不能既被声明为abstract,又被声明为final。将变量或方法声明为final,可以保证它们在使用中 阅读全文