摘要:
一、简介 最近的Log4J漏洞(CVE-2021-44228)正造成网络大乱,其影响力不亚于早期的HeartBleeding漏洞。2.0-beta9 ~ 2.14.1版本的Apache Log4j2均存在改漏洞,可以说直接影响了大部分基于Java的应用。该漏洞最早被阿里云安全团队发现并验证,随即被A 阅读全文
摘要:
WuKong是一款国产静态代码检测工具,在不运行程序的情况下,直接对源代码进行检测,涉及编码规则规范、安全漏洞及运行时缺陷。目前已支持十多种编程语言,支持国家标准、行业标准及国际标准。 WuKong在代码检测方面有以下优势: 检测“深度”更深 技术团队针对性地研究了软件安全测试中的关键难点问题——如 阅读全文
摘要:
在当今的数字时代,网络安全比以往任何时候都更加重要。随着网络攻击手段日益复杂以及组织必须保护的数据量不断增加,人工智能(AI)在网络安全领域的应用已成为应对这些威胁的有力工具。然而,与任何技术一样,AI 在网络安全方面既有优势也有挑战。 在网络安全中使用人工智能的优势 1. 增强的威胁检测和预防 人 阅读全文
摘要:
在关键领域核心技术自主化浪潮下,WuKong作为完全国产化的静态代码安全检测平台,已获得百余项软著专利,并取得CWE国际兼容认证。工具不仅支持Python、Java等主流语言的检测,具备的C/C++深度分析引擎更能检测更多的深度安全问题,是智能驾驶、航天控制等领域的代码安全首选解决方案。 军工级缺陷 阅读全文
摘要:
在 Web 应用程序的安全领域,安全设计正从传统的被动防御模式向主动构建弹性系统转变。这种转变旨在将安全性从一种事后补救的措施,转变为软件开发的核心组成部分。无论是保护敏感数据、防止未经授权的访问,还是维护系统的完整性,安全设计都强调对潜在威胁的预测与有效缓解,从而确保系统在面对风险时具备更强的适应 阅读全文
摘要:
要理解静态应用程序安全测试(SAST),首先需要将其与其他测试方法区分开来。例如,动态应用程序安全测试(DAST)主要在应用程序运行时进行分析,通过向应用程序发送请求来实时识别漏洞。而 SAST 则在不实际运行应用程序的情况下,对代码进行逐行扫描,检测编码错误、安全问题和其他潜在漏洞。通过这种方式, 阅读全文
摘要:
现代软件工程中,DevOps已从单纯的技术工具集演进为组织能力进化的核心范式。 DevOps 的本质 DevOps本质是通过系统性重组消除软件价值链断层,建立开发、测试、运维的协同作业体系。其核心机制体现在三个维度: 文化重塑:构建跨职能团队的共享责任体系,将传统"交付即终结"的线性思维转化为产品全 阅读全文
摘要:
动态应用程序安全测试(DAST)和静态应用程序安全测试(SAST)是检测应用程序漏洞的两大法宝。每种测试工具都有各自特点,并且在应用程序安全策略中扮演着不同角色。因此,了解如何挑选并整合这些工具,对于提升和优化组织安全态势至关重要。 什么是 DAST,什么是 SAST? 首先,咱们得明确这两个术语的 阅读全文
摘要:
现代技术并非绝对可靠,层出不穷的安全漏洞就是例证。当前,虽然构建安全系统是行业共识,但过度投入资源在安全防护上可能导致其他关键领域被忽视——例如用户体验优化、系统运行效率以及产品兼容性开发。这种资源分配的失衡往往在实际操作中使安全防护沦为形式化合规检查,仅满足最低标准。在涉及敏感数据处理时,这种妥协 阅读全文
摘要:
静态代码检测工具的起源可以追溯至软件工程对代码质量和安全性的早期探索。2005年,美国信息技术咨询委员会首次在年度报告中提出政府和军队软件产品需进行代码安全检测,标志着静态分析技术进入政策视野。随后,2006年CWE(通用缺陷枚举)组织的成立,为缺陷分类和标准化提供了基础框架。2008年,美国加州大 阅读全文
摘要:
漏洞管理的作用是什么? 漏洞管理,也称为漏洞评估,涉及识别、评估、优先排序和解决计算机系统、网络、软件和其他IT环境中的安全漏洞。目标是降低网络罪犯利用这些漏洞的风险,并维护组织系统的安全性和完整性。企业使用漏洞管理工具来持续监控和修复漏洞,以主动防御安全风险。 网络安全中常见的漏洞类型有哪些? 网 阅读全文