上一页 1 2 3 4 5 6 7 ··· 9 下一页
摘要: DevSecOps分别代表开发、安全和运营。这是一个新的工作流程,涉及将安全实践集成到所有DevOps流程中。 DevSecOps在开发过程的早期进行安全实践和实施。这就创造了一种文化,即安全是每个人的责任,而不仅仅是安全团队的责任。 将安全性构建到软件交付生命周期的每个阶段,可实现持续集成和高速开 阅读全文
posted @ 2023-01-06 14:17 中科天齐软件原生安全 阅读(267) 评论(0) 推荐(0) 编辑
摘要: DAST 和 SAST 工具采用不同的方法来测试应用程序安全性,在软件生命周期的不同阶段工作,并且具有不同的优势和局限性。 SAST 工具在源代码中查找缺陷漏洞,通常在开发早期。 DAST 工具扫描正在运行的应用程序中的漏洞,通常在开发后期和生产中使用。 应用程序安全性的全面方法包括SAST和DAS 阅读全文
posted @ 2022-12-30 15:51 中科天齐软件原生安全 阅读(327) 评论(0) 推荐(0) 编辑
摘要: 正确的应用程序安全测试工具可以改善企业安全态势和开发工作流程。如今,应用程序安全从一开始就内置在整个软件生命周期中,即使是具有成熟开发实践的组织也需要自动化工具来在复杂、快速变化的环境中成功地保护他们的软件。以下比较了三个广泛使用的应用程序安全测试工具:静态应用程序安全测试(SAST),动态应用程序 阅读全文
posted @ 2022-12-08 16:20 中科天齐软件原生安全 阅读(107) 评论(0) 推荐(0) 编辑
摘要: 应用程序安全测试(AST)通过各种工具、流程扫描应用程序以发现潜在安全问题。静态应用程序安全测试(SAST)和动态应用程序安全测试(DAST)是常用的安全测试方法,它们遵循不同的方法,在软件开发生命周期的不同阶段扫描应用程序代码及软件。 SAST遵循白盒测试方法来分析源代码、字节码和二进制文件,以识 阅读全文
posted @ 2022-11-24 14:34 中科天齐软件原生安全 阅读(220) 评论(0) 推荐(0) 编辑
摘要: 随着当前网络攻击的频繁化和复杂化,网络安全需要从防守攻击转向主动防御,从发生攻击后再进行处理转向更加严谨地保护组织的数据和基础设施。在没有采用适当的预防措施时,网络攻击者可以轻而易举地利用公司Web应用程序、移动应用程序及API等中的漏洞。 静态应用程序安全测试通常由自动化工具进行测试,随着安全左移 阅读全文
posted @ 2022-11-17 11:02 中科天齐软件原生安全 阅读(52) 评论(0) 推荐(0) 编辑
摘要: 跨站点请求伪造是一种攻击,在这种攻击中,对手可以代表受害用户提交恶意请求。在具有跨站点请求伪造(CSRF)漏洞的应用程序中,恶意用户可以提交未经授权的命令,因为应用程序信任源用户帐户。CSRF攻击也被称为会话骑乘、XSRF、会话固定、恶意链接或一键式攻击,主要针对导致服务器状态改变的合法请求,使攻击 阅读全文
posted @ 2022-10-28 11:45 中科天齐软件原生安全 阅读(401) 评论(0) 推荐(0) 编辑
摘要: 在一个标准的web服务器目录中,根文件夹是当用户在地址栏上输入一个网站的域名时可以访问的公共访问文件夹。根目录包含站点的索引文件以及到系统中使用的所有其他文件和目录的路径。这些文件只能被服务器端代码或web应用程序本身访问。 攻击者可以读取易受攻击的应用程序中的这些文件和目录,以访问密码文件、应用程 阅读全文
posted @ 2022-09-07 13:58 中科天齐软件原生安全 阅读(393) 评论(0) 推荐(0) 编辑
摘要: 根据美国国家标准与技术局(NIST)、国家漏洞数据库(NVD)数据显示,90%以上的网络安全问题是由软件自身的安全漏洞被利用导致。不用说,在软件开发阶段消除这些缺陷可以减少当今许多组织面临的网络安全风险。要做到这一点,有许多技术可以帮助开发人员在软件上线前发现这些问题,这些工具或技术包括SAST、D 阅读全文
posted @ 2022-08-17 17:48 中科天齐软件原生安全 阅读(692) 评论(0) 推荐(0) 编辑
摘要: 漏洞威胁管理至关重要,因为网络犯罪是一种持续存在的全球风险。网络犯罪分子愿意利用软件中的任何漏洞来访问网络和设备。对使用该软件的软件开发人员和组织的影响可能很严重。用户必须处理攻击的结果,例如赎金或数据盗窃,并且还可能面临法律后果、经济损失和声誉受损。 开发人员应该测试他们的产品,评估漏洞,并在发布 阅读全文
posted @ 2022-08-16 15:00 中科天齐软件原生安全 阅读(472) 评论(0) 推荐(0) 编辑
摘要: 安全漏洞是应用程序堆栈中的缺陷,攻击者在网络攻击期间利用这些缺陷获得未经授权的访问。常见的攻击模式包括利用这些安全风险在目标系统上安装恶意软件、访问/修改敏感数据和运行恶意代码。在软件编码期间,通过静态应用安全测试可以发现由编码问题导致的缺陷,便于开发人员及时修改。因此,CVE通常为安全人员所熟知。 阅读全文
posted @ 2022-08-10 11:19 中科天齐软件原生安全 阅读(862) 评论(0) 推荐(0) 编辑
上一页 1 2 3 4 5 6 7 ··· 9 下一页