中科天齐软件原生安全

摘要： 对于企业来说，代码库是其宝贵的资产。然而目前勒索软件即服务 (RaaS)攻击以 CI/CD 管道为目标，劫持或破坏代码已成为一种趋势。首先来看下典型的勒索软件生命周期。 感染：攻击者通常通过恶意依赖项、脚本漏洞或受损的构建服务器渗透到系统中。 横向移动：他们暗中探索网络，寻找关键资源和代码存储库。 阅读全文

摘要： 不安全反序列化是一种针对 Web 应用程序和 API 的许多攻击链的一部分的漏洞，。易受攻击的应用程序将在不验证数据的情况下加载数据，从而允许攻击者操纵反序列化过程并执行恶意代码。虽然不安全反序列化并不总是作为独立漏洞报告，但可能会对网络安全造成严重后果，包括远程代码执行 (RCE)、拒绝服务 (D 阅读全文

摘要： 什么是静态代码分析 静态代码分析在代码非运行时环境中，解析代码以了解其结构，并应用预定义的规则和模式来检测潜在问题。相较于运行时检测的动态分析，静态代码分析可以在开发周期的早期进行检测，改进代码质量增强安全性。 静态代码分析工具检测原理 静态分析的本质是建立程序的一个状态模型，分析程序是如何在这些状 阅读全文

摘要： 随着应用程序部署方式和环境的更改不断变化，加上且网络攻击变得越来越复杂和频繁，每年执行一次安全测试来了解组织的安全漏洞已经不够。如果不集成持续的测试，组织很可能面临合规问题或暴露潜在的安全漏洞，从而来带安全风险及经济损失。 通过以下5个步骤，可以在组织中采用和实施持续安全测试。 第 1 步：改变思维 阅读全文

摘要： 软件供应链包含多个环节，如开发人员、基础设施组件、GitHub存储库等。而企业的软件供应链是否安全，取决于其最薄弱的环节。随着构建的软件复杂性以及对第三方组件的依赖增加，软件供应链中的潜在风险也在逐渐增大。一旦其中包含漏洞或缺陷就可能带来重大风险。 软件供应链风险的类型 第三方组件和开源库中的漏洞： 阅读全文

摘要： 随着国产软件的使用及对安全要求提升，越来越多的企业在关注软件开发安全及代码安全的同时，逐渐将选择目光放在国产化工具上。相较于国外工具，国产化代码检测工具能更好地支持国内行业标准，同时提供更切合实际情况的定制化服务和及时的售后，国产化工具主要特点有： 1、更好地本地化支持： 使用语言：国产工具在使用的 阅读全文

摘要： 静态应用程序安全测试(SAST)是分析和测试应用程序源代码是否存在安全漏洞的过程。软件开发人员使用 SAST 在软件开发生命周期(SDLC)早期(即应用最终发布之前)查找并修复源代码中的缺陷。 SAST 的工作原理是什么? SAST是一种白盒测试方法，通过直接面向源代码、字节码和二进制文件，检测是否 阅读全文

摘要： 动态应用程序安全测试 (DAST) 是在运行时分析 Web 应用程序以识别安全漏洞或缺陷的过程。在 DAST 中，测试人员在应用程序运行时检查应用程序，并试图像黑客一样攻击它。DAST 工具提供有关应用响应的信息，帮助开发人员识别和消除威胁。 DAST是如何工作的? DAST 是一种黑盒测试，是从应 阅读全文

摘要： 静态代码检测工具是现代软件开发流程中不可或缺的一环。它可以在代码编写过程中自动检测出潜在的错误和漏洞，帮助开发者在测试和上线前尽早发现和解决问题，从而提高代码质量和开发效率。 静态代码检测工具主要有以下几个特点： 一、自动化检测 静态代码检测工具不需要运行软件，可以直接自动化分析源代码，检测出一些常 阅读全文

摘要： Web应用程序安全是指为保护Web应用程序免受潜在攻击而采取的措施。包括保护Web应用程序免受可能损害其功能、安全性和数据完整性的外部威胁的策略和流程。 有效的 Web 应用程序安全策略包括识别潜在漏洞、评估其相关风险以及实施防攻击的措施。 Web 应用程序中的常见漏洞 攻击者经常利用的几个常见漏洞 阅读全文