分类
全部
产品
厂商
领域
文章
关联搜索
开源
漏洞扫描
端口扫描
网站监测
指纹识别
毕业至今,从最初在乙方安全厂商做安全服务,辗转到互联网公司做安全研发,现今在金融国企做安全建设工作。几年信息安全职业生涯,我经历了从乙方到甲方的角色转换,经历了从互联网到国企的转变。兜兜转转的几年时间里,随着日常工作内容的改变,我对信息安全
52人阅读
2024-07-13
静态代码分析的工具非常多,有开源或商业的,有国内、外之分,有基于关键字正则匹配、或AST语义分析、亦或IR/CFG的代码分析。不过从甲方安全建设的视角来看,首要考虑成本和效果,故提供以下几点建议: 1、根据公司技术栈选择工具,具体来说就是看主流开发语言,因为有的工具确实会对某个语言支持得更好,表现在高检出率(POC时尽量不要用知名漏洞靶场); 2、破解版的SAST商业工具很少,但在国内却广泛传播着国外的某个破解工具,目前来看还有小范围更新规则库,个人研究或缺少预算的可以看看。但针对该情况,更推荐使用开源工具(不主张企业级用破解版,会带来麻烦); 3、从检测效果来看,正则关键匹配方式明显是误报最高的,但在有的场景中比较好用,比如数据流中断、想要快速检出具体的某一类漏洞.时..故不应考虑技术是否先进,不要指望一个工具能解决所有问题。在工具链建设时,可以先主、然后不断的丰富不同原理但又能扫出漏洞的工具。 总的来说,要做好代码安全扫描,无论选择怎样的工具都会有一个前提:企业配备具备代码审计的人员,持续做开发安全运营。附静态代码分析工具大全(国外与开源版):https://owasp.org/www-community/Source_Code_Analysis_Tools 更多软件安全内容,可以访问: 1、<a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485635&idx=1&sn=d1f3c10665061d46ee3042a932c32af5&chksm=eb6c2abbdc1ba3adc13596ff1174f5431e597f851cd4560e31daa7aa256e39aecca1c0f9c2a0&scene=142#wechat_redirect" target="_blank">SDL100问:我与SDL的故事</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485702&idx=1&sn=cdb42998335935cce5513a731f2969e6&chksm=eb6c2b7edc1ba268d2847e2083231fe5f964efea2ab8c7d0ffb16d081683c79dda8529682693&token=1925672008&lang=zh_CN&scene=142#wechat_redirect" target="_blank">SDL与DevSecOps有何异同?</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485711&idx=1&sn=79e9ebca9eae85d4d4cb6fcf6639fcf5&chksm=eb6c2b77dc1ba2616e6adf76413422781c666d6a9f2cf734fb7097b791c5ddd2762ef4673547&scene=142#wechat_redirect" target="_blank">如何在不同企业实施SDL?</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485724&idx=1&sn=1d9fedf471d58919a2b0ddf99d10c9d0&chksm=eb6c2b64dc1ba2721a4cdcaee3036ed61dab0c91f97e794a6ed5a59b3be74872a233ed0eaf45&scene=142#wechat_redirect" target="_blank">SAST误报太高,如何解决?</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485759&idx=1&sn=a362896234e1d0e7403befd9c2312567&chksm=eb6c2b47dc1ba2515c97c887e6b7ee6119c1d26e6ba9aad4eace374350f68c3566c1db005d03&scene=142#wechat_redirect" target="_blank">SDL需要哪些人参与?</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485772&idx=1&sn=37a833b95317746945bb08e3940d07ff&chksm=eb6c2b34dc1ba22200369c45c0e871cd708c86810da3b64c09e7c8c4ca39fedc4fefa7631ad3&scene=142#wechat_redirect" target="_blank">在devops中做开发安全,会遇到哪些问题?</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485785&idx=1&sn=091cdd44050411ad490e95222221e3d8&chksm=eb6c2b21dc1ba2373c3f566a9500661bec26d4b805e5614cb4f726a4876e139014cb13c65abe&scene=142#wechat_redirect" target="_blank">如何实施安全需求?</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485798&idx=1&sn=e7d01d58260deb4ea5f59f83227cf33e&chksm=eb6c2b1edc1ba20816d5738533156096cb6c8872924cba3dce37003af24e8228fd87365dff35&scene=142#wechat_redirect" target="_blank">安全需求,有哪些来源?</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485811&idx=1&sn=73876a6b1c669c165657e3af62e0f10a&chksm=eb6c2b0bdc1ba21dbde4074b1c8c24223eab3a7a546fd2301fbfa7a2385bb2db682eaa3555b6&scene=142#wechat_redirect" target="_blank">安全需求怎么实现自动化?</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485824&idx=1&sn=667824a4531a35cd67ce2f8d6581f81d&chksm=eb6c2bf8dc1ba2eed4251327b82c27d36eac17b338bb7240fe23bdaa66daf1e7823d8a331a7a&scene=142#wechat_redirect" target="_blank">实施安全需求,会遇到哪些难题?</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485837&idx=1&sn=8b4f4c703994290e23feb0253b8da090&chksm=eb6c2bf5dc1ba2e3686c75ffe5d278ce534ff037401411662dda783344579497ac2d9745466b&scene=142#wechat_redirect" target="_blank">安全需求和安全设计有何异同及关联?</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485850&idx=1&sn=21ed85d46c64552edfb2ca8da44b3c83&chksm=eb6c2be2dc1ba2f4ca6a95dd3dbc7bb916e9cbaba5d3f41b5eb470f4bcc5497db568bbdbe5cc&scene=142#wechat_redirect" target="_blank">设计阶段应开展哪些安全活动?</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485863&idx=1&sn=329eba45ab509e199463e371b1e99fcf&chksm=eb6c2bdfdc1ba2c97e40ee5d0b81df82469b5bf5ca1825de47dc9dc8acee2a4a7e8841fc7257&scene=142#wechat_redirect" target="_blank">有哪些不错的安全设计参考资料?</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485876&idx=1&sn=2feca1c97cf0a17188fd2c4970859caf&chksm=eb6c2bccdc1ba2da049b0488bc3d7993b9c96e3f8f5d7f77c4db7b34cff257f134477697b854&scene=142#wechat_redirect" target="_blank">安全设计要求怎么做才能落地?</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485889&idx=1&sn=0c983d68ba83d646e9470f5d8669f48a&chksm=eb6c2bb9dc1ba2af6cdae9da58937fa0d4b6ee43872893ad329681666b2b046fd2d6df455f0e&scene=142#wechat_redirect" target="_blank">有哪些威胁建模方法论?</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485902&idx=1&sn=ad38f91a016b55c4a2312f18524b635c&chksm=eb6c2bb6dc1ba2a03c0fb89c42ff82fb6f0046b4e0ecb394e6d2e0f963aa9f9af70b4f203099&scene=142#wechat_redirect" target="_blank">有哪些威胁建模工具?</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485970&idx=1&sn=2f2ab597d88d48dd8b1af97bb5f61e53&chksm=eb6c286adc1ba17cddfd1661276af76a47a0f99b66fa115f21b1f1771e1efe0546fe8b9f188d&scene=142#wechat_redirect" target="_blank">如何开始或实施威胁建模?</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485987&idx=1&sn=1f818f82c931939ef1046ef10520901c&chksm=eb6c285bdc1ba14d794b8de02c7ced703fddd72e62c9833b35472f7282a5646339243fd79d7d&scene=142#wechat_redirect" target="_blank">威胁建模和架构安全评审,有何异同?</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247486000&idx=1&sn=b564e99bb7903a7514c2fb59be6cd8ba&chksm=eb6c2848dc1ba15ece91485d3391d2e2a3510124cece348daba4afa6f501ec9bdd0daf84a7e4&scene=142#wechat_redirect" target="_blank">SDL 18/100问:编码阶段,开展哪些安全活动?</a> 2、SDL最初实践系列 <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247484219&idx=1&sn=6ff469339838922b9010463eca27dce1&chksm=eb6c2143dc1ba855a37525e4314805aededef6ff045a222b10e2111326ee88d742a4919d6a2c&scene=142#wechat_redirect" target="_blank">开篇</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247484307&idx=1&sn=3758ef809f9a456d7ed83a2954487f5b&chksm=eb6c21ebdc1ba8fd8888ccf93043b0abc5107b0a96671419bbc8b3795260feded5292248338e&scene=142#wechat_redirect" target="_blank">安全需求</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247484328&idx=1&sn=bba34270246d8e01eb1f54e4a0605d00&chksm=eb6c21d0dc1ba8c67dc82bba63cd9207e91c47afafc3099a478b638ffb7ea3a913b0b7be27ec&scene=142#wechat_redirect" target="_blank">安全设计</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247484341&idx=1&sn=f08a2bcbacb518e93d24d01e1386090b&chksm=eb6c21cddc1ba8db160ac24824ffcdaf46e383ea3c482191961c7176239e6ccdd9833069a295&scene=142#wechat_redirect" target="_blank">安全开发</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247484366&idx=1&sn=72cc4c6bcc5dde0b234cf5a2693d3970&chksm=eb6c21b6dc1ba8a0fa8640a1bc3a977cab84c4f50835b8b448ee9e3c0b1dc6d85ba256b46ce2&scene=142#wechat_redirect" target="_blank">安全测试</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247484379&idx=1&sn=dda07183bd693fe2ed53990099e79a22&chksm=eb6c21a3dc1ba8b5ef572e80a8a0a9bc22447a77b2d6b88094f2b91a87e09a179a84db05da19&scene=142#wechat_redirect" target="_blank">安全审核</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247484395&idx=1&sn=06b35e000af7a55b2a9580bb192316c1&chksm=eb6c2193dc1ba885630fdecfd278b6c8bf3e90027533e1c3748d90b3d5c0cbbf5d6be2d9c0fa&scene=142#wechat_redirect" target="_blank">安全响应</a>
50人阅读
2024-07-13
在此之前的几年,我一直在百度、贝壳主要负责企业的甲方安全建设,多数时候是直接以防守方的角色参与其中。今年,从过去的一周来看,整体活跃程度是要比往年更热烈的。
46人阅读
2024-07-14
这里的讨论的资产特指在黑盒视角下被动采集到的数据,比如来自waf、网关、被动代理等http请求日志所对应的资产,并不是主动扫描所发现的domain/ip + port + urlpath这种资产,清洗的结果也主要用于被动扫描,而非主动扫描。
51人阅读
2024-07-13
在此之前的几年,我一直在百度、贝壳主要负责企业的甲方安全建设,多数时候是直接以防守方的角色参与其中。今年,从过去的一周来看,整体活跃程度是要比往年更热烈的。
51人阅读
2024-07-13
文章将结合在甲方企业中从事信息安全治理、推动以及如何与业务达成共识的角度来理解ISO/IEC27001相关内容具体内容。
76人阅读
2024-07-13
本文是”深耕研发安全”系列文章的开篇,介绍在数字化转型过程中,研发安全的工作模式与方法的迭代升级。从研发安全体系建设的角度出发,总结出难度比较大的三个典型问题。
75人阅读
2024-07-15
132
0
一款甲方资产巡航扫描系统。系统定位是发现资产,进行端口爆破。帮助企业更快发现弱口令问题。主要功能包括: 资产探测、端口爆破、定时任务、管理后台识别、报表展示
50
0
是一家专注数据安全的高新技术企业。
知道创宇
92
0
知道创宇安全专家帮助客户快速、省心通过等保2.0合规,客户享受一站式等保咨询服务,包括完备的攻击防护、数据审计、数据备份、加密、安全管理服务。帮助客户快速、低成本完成安全整改,轻松满足等保合规要求。