搜索中心

分类

全部

产品

厂商

领域

文章

关联搜索

软件成分分析

SCA

开发安全

安全开发

安全开发周期

文章

给表弟的Web安全入门建议

侠易龙门阵

祝表弟早日成为表哥，然后带带我~

142人阅读

2024-07-13

文章

ZoomEyeGPT：ChatGPT Prompt编程实践

黑哥虾撩

「Prompt也是可编程的 --黑哥尔」既然ChatGPT火了后就诞生了“提示工程师”，所以Prompt本身

61人阅读

2024-07-13

文章

活动预告 | CodeWisdom 软件智能化开发与运维学术报告系列第8期：AIGC在低代码领域的应用与实践

CodeWisdom

本次报告主要会分享网易在低代码领域和自研编程语言的设计经验，以及融合AIGC技术在生成代码、解读逻辑、D2C等智能编程的场景应用与工程实践。

52人阅读

2024-07-13

文章

基本功 | 一文讲清多线程和多线程同步

美团技术团队

本篇文章将深入探讨多线程编程的基本概念（原子操作、CAS、Lock-free、内存屏障、伪共享、乱序执行等）、常见模式和最佳实践。

预览

56人阅读

2024-07-20

文章

SDL 23/100问：如何制定一份有用的开发安全规范？

我的安全视界观

开发安全规范不难做，但要做得好可能就得下功夫。因为其是后续很多安全活动开展的依据，比如SAST的检测规则，可从技术层面实现规范的闭环，切实提高软件安全质量；又如为开发安全培训提供了培训素材，也能影响开发人员的安全意识水平；故制定一份有用的开发安全规范至关重要。回顾以往的实践及见闻，在编制时有以下三点经验可供分享： 1、按照开发语言：调研公司内部使用到的开发语言类型，先针对主流语言编写安全规范（可按照编程语言行数统计，一般配管人员能提供），再找对应语言的开发专家评审及优化，最后复制该模式逐一覆盖其他语言； 2、从开发的视角：多说对输入的安全检查和校验、文件的安全处理..少提SQLi漏洞、文件上传漏洞...尽可能的从开发视角去编写规范，并举例相关代码进行说明，提升易读、易懂性； 3、紧密围绕目标：明确开发安全规范的使用目标。若是为了合规检查，参照行业公开规范如云厂商的、owasp风险来写，就足以应对；若是为了解决编码过程中引入的实际安全问题，则公开内容只能作为参考、约占比内容的30%，剩下的主要部分应是历史安全测试提炼出来的安全漏洞与风险类型。更多软件安全内容，可以访问： 1、<a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485635&idx=1&sn=d1f3c10665061d46ee3042a932c32af5&chksm=eb6c2abbdc1ba3adc13596ff1174f5431e597f851cd4560e31daa7aa256e39aecca1c0f9c2a0&scene=142#wechat_redirect" target="_blank">SDL100问：我与SDL的故事</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485702&idx=1&sn=cdb42998335935cce5513a731f2969e6&chksm=eb6c2b7edc1ba268d2847e2083231fe5f964efea2ab8c7d0ffb16d081683c79dda8529682693&token=1925672008&lang=zh_CN&scene=142#wechat_redirect" target="_blank">SDL与DevSecOps有何异同？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485711&idx=1&sn=79e9ebca9eae85d4d4cb6fcf6639fcf5&chksm=eb6c2b77dc1ba2616e6adf76413422781c666d6a9f2cf734fb7097b791c5ddd2762ef4673547&scene=142#wechat_redirect" target="_blank">如何在不同企业实施SDL？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485724&idx=1&sn=1d9fedf471d58919a2b0ddf99d10c9d0&chksm=eb6c2b64dc1ba2721a4cdcaee3036ed61dab0c91f97e794a6ed5a59b3be74872a233ed0eaf45&scene=142#wechat_redirect" target="_blank">SAST误报太高，如何解决？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485759&idx=1&sn=a362896234e1d0e7403befd9c2312567&chksm=eb6c2b47dc1ba2515c97c887e6b7ee6119c1d26e6ba9aad4eace374350f68c3566c1db005d03&scene=142#wechat_redirect" target="_blank">SDL需要哪些人参与？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485772&idx=1&sn=37a833b95317746945bb08e3940d07ff&chksm=eb6c2b34dc1ba22200369c45c0e871cd708c86810da3b64c09e7c8c4ca39fedc4fefa7631ad3&scene=142#wechat_redirect" target="_blank">在devops中做开发安全，会遇到哪些问题？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485785&idx=1&sn=091cdd44050411ad490e95222221e3d8&chksm=eb6c2b21dc1ba2373c3f566a9500661bec26d4b805e5614cb4f726a4876e139014cb13c65abe&scene=142#wechat_redirect" target="_blank">如何实施安全需求？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485798&idx=1&sn=e7d01d58260deb4ea5f59f83227cf33e&chksm=eb6c2b1edc1ba20816d5738533156096cb6c8872924cba3dce37003af24e8228fd87365dff35&scene=142#wechat_redirect" target="_blank">安全需求，有哪些来源？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485811&idx=1&sn=73876a6b1c669c165657e3af62e0f10a&chksm=eb6c2b0bdc1ba21dbde4074b1c8c24223eab3a7a546fd2301fbfa7a2385bb2db682eaa3555b6&scene=142#wechat_redirect" target="_blank">安全需求怎么实现自动化？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485824&idx=1&sn=667824a4531a35cd67ce2f8d6581f81d&chksm=eb6c2bf8dc1ba2eed4251327b82c27d36eac17b338bb7240fe23bdaa66daf1e7823d8a331a7a&scene=142#wechat_redirect" target="_blank">实施安全需求，会遇到哪些难题？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485837&idx=1&sn=8b4f4c703994290e23feb0253b8da090&chksm=eb6c2bf5dc1ba2e3686c75ffe5d278ce534ff037401411662dda783344579497ac2d9745466b&scene=142#wechat_redirect" target="_blank">安全需求和安全设计有何异同及关联？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485850&idx=1&sn=21ed85d46c64552edfb2ca8da44b3c83&chksm=eb6c2be2dc1ba2f4ca6a95dd3dbc7bb916e9cbaba5d3f41b5eb470f4bcc5497db568bbdbe5cc&scene=142#wechat_redirect" target="_blank">设计阶段应开展哪些安全活动？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485863&idx=1&sn=329eba45ab509e199463e371b1e99fcf&chksm=eb6c2bdfdc1ba2c97e40ee5d0b81df82469b5bf5ca1825de47dc9dc8acee2a4a7e8841fc7257&scene=142#wechat_redirect" target="_blank">有哪些不错的安全设计参考资料？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485876&idx=1&sn=2feca1c97cf0a17188fd2c4970859caf&chksm=eb6c2bccdc1ba2da049b0488bc3d7993b9c96e3f8f5d7f77c4db7b34cff257f134477697b854&scene=142#wechat_redirect" target="_blank">安全设计要求怎么做才能落地？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485889&idx=1&sn=0c983d68ba83d646e9470f5d8669f48a&chksm=eb6c2bb9dc1ba2af6cdae9da58937fa0d4b6ee43872893ad329681666b2b046fd2d6df455f0e&scene=142#wechat_redirect" target="_blank">有哪些威胁建模方法论？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485902&idx=1&sn=ad38f91a016b55c4a2312f18524b635c&chksm=eb6c2bb6dc1ba2a03c0fb89c42ff82fb6f0046b4e0ecb394e6d2e0f963aa9f9af70b4f203099&scene=142#wechat_redirect" target="_blank">有哪些威胁建模工具？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485970&idx=1&sn=2f2ab597d88d48dd8b1af97bb5f61e53&chksm=eb6c286adc1ba17cddfd1661276af76a47a0f99b66fa115f21b1f1771e1efe0546fe8b9f188d&scene=142#wechat_redirect" target="_blank">如何开始或实施威胁建模？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485987&idx=1&sn=1f818f82c931939ef1046ef10520901c&chksm=eb6c285bdc1ba14d794b8de02c7ced703fddd72e62c9833b35472f7282a5646339243fd79d7d&scene=142#wechat_redirect" target="_blank">威胁建模和架构安全评审，有何异同？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247486000&idx=1&sn=b564e99bb7903a7514c2fb59be6cd8ba&chksm=eb6c2848dc1ba15ece91485d3391d2e2a3510124cece348daba4afa6f501ec9bdd0daf84a7e4&scene=142#wechat_redirect" target="_blank">编码阶段，开展哪些安全活动？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247486014&idx=1&sn=71da08d83728aaea6b0a260b47d421f2&chksm=eb6c2846dc1ba150d4132a71d3aac1e084229971272635cb3e86157e005e9d782e64adde4b6c&scene=142#wechat_redirect" target="_blank">如何选择静态代码扫描(SAST)工具？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247486027&idx=1&sn=56c44d0631f44fa819ad69fbdd5b9fbe&chksm=eb6c2833dc1ba125a94b17a49b3c1b26a5ac5be916d89423b236eaca4fb4f5ccf6315a21b3a3&scene=142#wechat_redirect" target="_blank">如何选择开源组件安全扫描(SCA)工具？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247486052&idx=1&sn=8a6c5238c71029fb1548830a03061bce&chksm=eb6c281cdc1ba10aec66d1bbe1d04c40acf4645a5843eeb4c11dcdc271ae5a7c99b09e1a3cb5&scene=142#wechat_redirect" target="_blank">SCA工具扫描出很多漏洞，如何处理？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247486061&idx=1&sn=4fc05467c85c9103b173731c693c4a6b&chksm=eb6c2815dc1ba10305d604b9eb4dd3e202e88cfc5bec9e9fef2ab05f7d780919c3db735b48cf&scene=142#wechat_redirect" target="_blank">SDL 22/100问：SCA工具识别出高风险协议，如何处理？</a> 2、SDL最初实践系列 <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247484219&idx=1&sn=6ff469339838922b9010463eca27dce1&chksm=eb6c2143dc1ba855a37525e4314805aededef6ff045a222b10e2111326ee88d742a4919d6a2c&scene=142#wechat_redirect" target="_blank">开篇</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247484307&idx=1&sn=3758ef809f9a456d7ed83a2954487f5b&chksm=eb6c21ebdc1ba8fd8888ccf93043b0abc5107b0a96671419bbc8b3795260feded5292248338e&scene=142#wechat_redirect" target="_blank">安全需求</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247484328&idx=1&sn=bba34270246d8e01eb1f54e4a0605d00&chksm=eb6c21d0dc1ba8c67dc82bba63cd9207e91c47afafc3099a478b638ffb7ea3a913b0b7be27ec&scene=142#wechat_redirect" target="_blank">安全设计</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247484341&idx=1&sn=f08a2bcbacb518e93d24d01e1386090b&chksm=eb6c21cddc1ba8db160ac24824ffcdaf46e383ea3c482191961c7176239e6ccdd9833069a295&scene=142#wechat_redirect" target="_blank">安全开发</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247484366&idx=1&sn=72cc4c6bcc5dde0b234cf5a2693d3970&chksm=eb6c21b6dc1ba8a0fa8640a1bc3a977cab84c4f50835b8b448ee9e3c0b1dc6d85ba256b46ce2&scene=142#wechat_redirect" target="_blank">安全测试</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247484379&idx=1&sn=dda07183bd693fe2ed53990099e79a22&chksm=eb6c21a3dc1ba8b5ef572e80a8a0a9bc22447a77b2d6b88094f2b91a87e09a179a84db05da19&scene=142#wechat_redirect" target="_blank">安全审核</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247484395&idx=1&sn=06b35e000af7a55b2a9580bb192316c1&chksm=eb6c2193dc1ba885630fdecfd278b6c8bf3e90027533e1c3748d90b3d5c0cbbf5d6be2d9c0fa&scene=142#wechat_redirect" target="_blank">安全响应</a>

57人阅读

2024-07-13

文章

SDL 24/100问：如何做到开发安全规范的有效实施？

我的安全视界观

开发安全团按照实际情况制定好安全规范后，下一步就是要求开发人员参照规范编写代码。在企业研发安全的建设过程中，要想做好开发安全规范落地，至少需要完成以下三件事： 1、组织评审，然后发布：开发安全规范通常是由安全团队发起，此时出发点、编写视角很难考虑到研发，所以一定要邀请开发经理或架构师进行评审，达成一致后走发布流程在全公司发布，做到合理的有法可依； 2、培训赋能，广而告之：组织开发团队进行培训，并结合考试，可对开发人员当时的掌握情况进行评估。经过大量实践后发现，组织经常写漏洞的开发、通过安全事件推进相关开发复盘编码安全问题，更能解少编码阶段引入漏洞的问题； 3、技术闭环，靠谱之道：开发人员即使经过了培训和考试，但在实际编程过程中往往会因为习惯和技术栈问题，忽视了规范而去写漏洞。若是能将开发安全规范内容落实到SAST工具上进行检测，尤其是在开发语言比较统一的环境中，规范的落地才算得上获得保障。更多软件安全内容，可以访问： 1、<a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485635&idx=1&sn=d1f3c10665061d46ee3042a932c32af5&chksm=eb6c2abbdc1ba3adc13596ff1174f5431e597f851cd4560e31daa7aa256e39aecca1c0f9c2a0&scene=142#wechat_redirect" target="_blank">SDL100问：我与SDL的故事</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485702&idx=1&sn=cdb42998335935cce5513a731f2969e6&chksm=eb6c2b7edc1ba268d2847e2083231fe5f964efea2ab8c7d0ffb16d081683c79dda8529682693&token=1925672008&lang=zh_CN&scene=142#wechat_redirect" target="_blank">SDL与DevSecOps有何异同？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485711&idx=1&sn=79e9ebca9eae85d4d4cb6fcf6639fcf5&chksm=eb6c2b77dc1ba2616e6adf76413422781c666d6a9f2cf734fb7097b791c5ddd2762ef4673547&scene=142#wechat_redirect" target="_blank">如何在不同企业实施SDL？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485724&idx=1&sn=1d9fedf471d58919a2b0ddf99d10c9d0&chksm=eb6c2b64dc1ba2721a4cdcaee3036ed61dab0c91f97e794a6ed5a59b3be74872a233ed0eaf45&scene=142#wechat_redirect" target="_blank">SAST误报太高，如何解决？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485759&idx=1&sn=a362896234e1d0e7403befd9c2312567&chksm=eb6c2b47dc1ba2515c97c887e6b7ee6119c1d26e6ba9aad4eace374350f68c3566c1db005d03&scene=142#wechat_redirect" target="_blank">SDL需要哪些人参与？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485772&idx=1&sn=37a833b95317746945bb08e3940d07ff&chksm=eb6c2b34dc1ba22200369c45c0e871cd708c86810da3b64c09e7c8c4ca39fedc4fefa7631ad3&scene=142#wechat_redirect" target="_blank">在devops中做开发安全，会遇到哪些问题？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485785&idx=1&sn=091cdd44050411ad490e95222221e3d8&chksm=eb6c2b21dc1ba2373c3f566a9500661bec26d4b805e5614cb4f726a4876e139014cb13c65abe&scene=142#wechat_redirect" target="_blank">如何实施安全需求？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485798&idx=1&sn=e7d01d58260deb4ea5f59f83227cf33e&chksm=eb6c2b1edc1ba20816d5738533156096cb6c8872924cba3dce37003af24e8228fd87365dff35&scene=142#wechat_redirect" target="_blank">安全需求，有哪些来源？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485811&idx=1&sn=73876a6b1c669c165657e3af62e0f10a&chksm=eb6c2b0bdc1ba21dbde4074b1c8c24223eab3a7a546fd2301fbfa7a2385bb2db682eaa3555b6&scene=142#wechat_redirect" target="_blank">安全需求怎么实现自动化？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485824&idx=1&sn=667824a4531a35cd67ce2f8d6581f81d&chksm=eb6c2bf8dc1ba2eed4251327b82c27d36eac17b338bb7240fe23bdaa66daf1e7823d8a331a7a&scene=142#wechat_redirect" target="_blank">实施安全需求，会遇到哪些难题？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485837&idx=1&sn=8b4f4c703994290e23feb0253b8da090&chksm=eb6c2bf5dc1ba2e3686c75ffe5d278ce534ff037401411662dda783344579497ac2d9745466b&scene=142#wechat_redirect" target="_blank">安全需求和安全设计有何异同及关联？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485850&idx=1&sn=21ed85d46c64552edfb2ca8da44b3c83&chksm=eb6c2be2dc1ba2f4ca6a95dd3dbc7bb916e9cbaba5d3f41b5eb470f4bcc5497db568bbdbe5cc&scene=142#wechat_redirect" target="_blank">设计阶段应开展哪些安全活动？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485863&idx=1&sn=329eba45ab509e199463e371b1e99fcf&chksm=eb6c2bdfdc1ba2c97e40ee5d0b81df82469b5bf5ca1825de47dc9dc8acee2a4a7e8841fc7257&scene=142#wechat_redirect" target="_blank">有哪些不错的安全设计参考资料？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485876&idx=1&sn=2feca1c97cf0a17188fd2c4970859caf&chksm=eb6c2bccdc1ba2da049b0488bc3d7993b9c96e3f8f5d7f77c4db7b34cff257f134477697b854&scene=142#wechat_redirect" target="_blank">安全设计要求怎么做才能落地？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485889&idx=1&sn=0c983d68ba83d646e9470f5d8669f48a&chksm=eb6c2bb9dc1ba2af6cdae9da58937fa0d4b6ee43872893ad329681666b2b046fd2d6df455f0e&scene=142#wechat_redirect" target="_blank">有哪些威胁建模方法论？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485902&idx=1&sn=ad38f91a016b55c4a2312f18524b635c&chksm=eb6c2bb6dc1ba2a03c0fb89c42ff82fb6f0046b4e0ecb394e6d2e0f963aa9f9af70b4f203099&scene=142#wechat_redirect" target="_blank">有哪些威胁建模工具？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485970&idx=1&sn=2f2ab597d88d48dd8b1af97bb5f61e53&chksm=eb6c286adc1ba17cddfd1661276af76a47a0f99b66fa115f21b1f1771e1efe0546fe8b9f188d&scene=142#wechat_redirect" target="_blank">如何开始或实施威胁建模？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485987&idx=1&sn=1f818f82c931939ef1046ef10520901c&chksm=eb6c285bdc1ba14d794b8de02c7ced703fddd72e62c9833b35472f7282a5646339243fd79d7d&scene=142#wechat_redirect" target="_blank">威胁建模和架构安全评审，有何异同？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247486000&idx=1&sn=b564e99bb7903a7514c2fb59be6cd8ba&chksm=eb6c2848dc1ba15ece91485d3391d2e2a3510124cece348daba4afa6f501ec9bdd0daf84a7e4&scene=142#wechat_redirect" target="_blank">编码阶段，开展哪些安全活动？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247486014&idx=1&sn=71da08d83728aaea6b0a260b47d421f2&chksm=eb6c2846dc1ba150d4132a71d3aac1e084229971272635cb3e86157e005e9d782e64adde4b6c&scene=142#wechat_redirect" target="_blank">如何选择静态代码扫描(SAST)工具？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247486027&idx=1&sn=56c44d0631f44fa819ad69fbdd5b9fbe&chksm=eb6c2833dc1ba125a94b17a49b3c1b26a5ac5be916d89423b236eaca4fb4f5ccf6315a21b3a3&scene=142#wechat_redirect" target="_blank">如何选择开源组件安全扫描(SCA)工具？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247486052&idx=1&sn=8a6c5238c71029fb1548830a03061bce&chksm=eb6c281cdc1ba10aec66d1bbe1d04c40acf4645a5843eeb4c11dcdc271ae5a7c99b09e1a3cb5&scene=142#wechat_redirect" target="_blank">SCA工具扫描出很多漏洞，如何处理？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247486061&idx=1&sn=4fc05467c85c9103b173731c693c4a6b&chksm=eb6c2815dc1ba10305d604b9eb4dd3e202e88cfc5bec9e9fef2ab05f7d780919c3db735b48cf&scene=142#wechat_redirect" target="_blank">SCA工具识别出高风险协议，如何处理？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247486074&idx=1&sn=b289bb2b7ca408b722d6c975a8d050f0&chksm=eb6c2802dc1ba114c63bfc39a1758d201bea76a7d42cb3e2df3dee456ad2b235cd3c84ffd3b0&scene=142#wechat_redirect" target="_blank">SDL 23/100问：如何制定一份有用的开发安全规范？</a> 2、SDL最初实践系列 <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247484219&idx=1&sn=6ff469339838922b9010463eca27dce1&chksm=eb6c2143dc1ba855a37525e4314805aededef6ff045a222b10e2111326ee88d742a4919d6a2c&scene=142#wechat_redirect" target="_blank">开篇</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247484307&idx=1&sn=3758ef809f9a456d7ed83a2954487f5b&chksm=eb6c21ebdc1ba8fd8888ccf93043b0abc5107b0a96671419bbc8b3795260feded5292248338e&scene=142#wechat_redirect" target="_blank">安全需求</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247484328&idx=1&sn=bba34270246d8e01eb1f54e4a0605d00&chksm=eb6c21d0dc1ba8c67dc82bba63cd9207e91c47afafc3099a478b638ffb7ea3a913b0b7be27ec&scene=142#wechat_redirect" target="_blank">安全设计</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247484341&idx=1&sn=f08a2bcbacb518e93d24d01e1386090b&chksm=eb6c21cddc1ba8db160ac24824ffcdaf46e383ea3c482191961c7176239e6ccdd9833069a295&scene=142#wechat_redirect" target="_blank">安全开发</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247484366&idx=1&sn=72cc4c6bcc5dde0b234cf5a2693d3970&chksm=eb6c21b6dc1ba8a0fa8640a1bc3a977cab84c4f50835b8b448ee9e3c0b1dc6d85ba256b46ce2&scene=142#wechat_redirect" target="_blank">安全测试</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247484379&idx=1&sn=dda07183bd693fe2ed53990099e79a22&chksm=eb6c21a3dc1ba8b5ef572e80a8a0a9bc22447a77b2d6b88094f2b91a87e09a179a84db05da19&scene=142#wechat_redirect" target="_blank">安全审核</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247484395&idx=1&sn=06b35e000af7a55b2a9580bb192316c1&chksm=eb6c2193dc1ba885630fdecfd278b6c8bf3e90027533e1c3748d90b3d5c0cbbf5d6be2d9c0fa&scene=142#wechat_redirect" target="_blank">安全响应</a>

52人阅读

2024-07-13

文章

淘宝短视频流工程重构（下）：实践篇

阿里技术

本文是实践篇，讲述如何从 0 到 1 对一个大型的业务工程开展重构。我们将按照定义架构解决的问题、设计架构的实现方式、重构前的准备、开始重构代码、新架构灰度放量的顺序来进行讲述，让我们开启重构之旅吧！

43人阅读

2024-07-13

文章

Git最佳实践，这样用就对了

腾讯技术工程

越了解越有好处

56人阅读

2024-07-13

文章

聊聊Google的工程实践（四）：调试与剖析

技艺丛谈

这篇继续聊一下调试与剖析这个话题

65人阅读

2024-07-13

文章

在得物的小程序生态实践

得物技术

尽管小程序在技术上存在诸多限制和缺陷，但其所带来的便利和商业机会无疑是巨大的。未来，随着技术的不断进步和生态的逐渐完善，小程序有望成为移动应用开发的重要范式之一，为用户和开发者创造更多价值。

59人阅读

2024-07-13

文章

从云原生视角看 AI 原生应用架构的实践

阿里巴巴中间件

基于大模型的 AI 原生应用将越来越多，容器和微服务为代表的云原生技术将加速渗透传统业务。

80人阅读

2024-07-13

文章

美团RASP大规模研发部署实践总结

美团安全应急响应中心

随着云计算和大数据发展，应用程序安全越来越受到重视。RASP 技术作为一种新型的安全防护手段，正在逐渐被业界接受并广泛应用。

61人阅读

2024-07-13

文章

Spark向量化计算在美团生产环境的实践

美团技术团队

Apache Spark是一个优秀的计算引擎，广泛应用于数据工程、机器学习等领域。向量化执行技术在不升级硬件的情况下，既可获得资源节省和加速作业执行。

40人阅读

2024-07-13

文章

XCon2024议题||从YakSSA到SyntaxFlow：静态代码分析技术的创新与实践

嘶吼专业版

本议题旨在介绍YakLang.io团队在解决这些难题上取得的突破性成果，特别是YakSSA和SyntaxFlow两项创新技术。

预览

73人阅读

2024-07-27

文章

原创 Paper | USB设备开发：从入门到实践指南（四）

知道创宇404实验室

本文主要讲述了研究USB设备开发硬件部分的知识及心得。

79人阅读

2024-07-13

文章

【229秒 -> 69秒】部署时间缩短69%，ICBU商家技术部应用部署治理实践

阿里技术

部署时长不仅影响线上问题的解决恢复能力，也严重影响了我们日常的开发效率。本文记录了作者部署时的一些提效手段和最终的效果。

52人阅读

2024-07-13

文章

一文梳理我们是如何打造出国内领先的 AI 编程助手「通义灵码」

阿里巴巴中间件

在 AI 和大模型时代，依托于通义灵码这样的产品，AI 编程有希望颠覆 IT 生产力。

154人阅读

2024-07-13

文章

更快更小！ProtoBuf 入门详解

腾讯技术工程

最佳实践

61人阅读

2024-07-13

文章

核心观点｜李彦宏Create 2024百度AI开发者大会: 未来开发应用就像拍短视频一样简单

百度安全应急响应中心

“未来，自然语言将成为新的通用编程语言，你只要会说话，就可以成为一名开发者，用自己的创造力改变世界。”

52人阅读

2024-07-13

文章

连中三元！百度安全多篇议题入选Blackhat Asia，以硬技术发现“芯”问题

百度安全实验室

与产学研各界合作伙伴携手探索AI时代的新实践、新范式

38人阅读

2024-07-13

产品

安天融川代码安全检测系统

安天

安天融川代码安全检测系统AntiySCS（Security Code Scan）是安天自主研发的面向软件产品全生命周期的安全开发检测系统。在应用上线前尽可能早地消灭高危漏洞、业务安全风险等在内的安全问题，从源头上避免安全事故。融川是一款全面、高效的代码安全解决产品，融合了软件组件分析（SCA）和静态应用安全测试（SAST）的先进能力。它旨在帮助企业和开发团队发现和修复代码中的安全漏洞、弱点和潜在风险，从而提升软件质量和保护业务安全。替代繁重的人工步骤，在开发阶段及时阻断不安全的组件及源码，从而防止来自软件供应链的污染传播。

#SAST #静态代码安全分析 #静态应用程序安全测试 #SDL #安全开发周期 #SDLC #DevSecOps #开发安全 #安全开发 #SCA #软件成分分析

厂商

壹进制

一家专注于数据安全领域，主营自主研发的数据保护与业务连续性管理产品、解决方案及服务的高科技企业。

产品

CORAS

蜚语科技

CORAS 下一代代码安全分析平台

#SDL #安全开发周期 #SDLC #DevSecOps #开发安全 #安全开发 #SAST #静态代码安全分析 #静态应用程序安全测试 #SCA #软件成分分析

产品

长亭代码审计服务

长亭科技

119

挖掘代码中的不安全因素，解决系统安全隐患。

#代码审计 #安全服务

产品

雳鉴 SCA

默安科技

123

雳鉴 SCA 专注解决软件安全开发流程中研发阶段以及软件供应链中的第三方组件安全问题，是默安科技基于软件安全开发生命周期管理的软件成分安全检测系统。

#SCA #软件成分分析 #DevSecOps #开发安全 #安全开发 #SDL #安全开发周期 #SDLC #供应链安全

厂商

保旺达

公司以“创造更安全的数字未来"为使命，基于自主创新技术做精做深全系数据安全产品。

厂商

开源网安

开源网安创立于2013年，是中国软件安全行业创领者、网络安全百强企业。

产品

UniSAG零信任智能API网关

联软科技

联软科技的UniSAG零信任智能API网关是一款企业级应用服务能力开放平台，提供API全生命周期管理，实现API服务的统一托管、认证、鉴权，构建API安全防护屏障，助力企业数字化变革，优化业务协同效率。

#零信任 #API安全 #流量分析

产品

代码审计服务

知道创宇

174

帮助企业从安全角度对应用系统的所有逻辑路径进行测试，通过分析源代码，充分挖掘代码中存在的安全缺陷以及规范性缺陷。找到普通安全测试所无法发现的如二次注入、反序列化、xml实体注入等安全漏洞。

#代码审计 #安全服务

产品

敏感数据加固保护

启明星辰

启明星辰的敏感数据加固保护产品，提供轻量化和完整保护方案，利用AOP技术加密数据存储，防止内存扫描和数据泄露。产品通过私有动态虚拟机和编译器，实现指令加密和数据运算保护，确保移动应用中敏感信息安全。

#敏感数据加固 #内存安全 #密码

产品

雳鉴 IAST

默安科技

默安科技雳鉴 IAST 专注解决软件安全开发流程中测试阶段或上线阶段的应用安全问题。

#IAST #交互式应用安全测试 #DevSecOps #开发安全 #安全开发 #SDL #安全开发周期 #SDLC

产品

奇安信数据交易沙箱系统

奇安信

奇安信数据交易沙箱系统提供国际领先的数据安全服务，旨在帮助政府和企业在确保数据安全的前提下，合法合规地共享和开放数据，推动数据价值最大化，促进数字化经济发展。系统具备隐私保护、一站式数据分析、数据监管审计等功能，支持数据安全流通和数据生产要素化。

#沙箱

厂商

深信服

337

深信服科技股份有限公司是一家专注于企业级安全、云计算及基础架构的产品、服务和解决方案供应商，致力于让每个用户的数字化更简单、更安全

厂商

竹云科技

专注于数字身份管理与访问控制领域的基础中间件软件以及云应用安全的科技企业

产品

知道创宇ScanV

知道创宇

115

基于AI+大数据的下一代网络安全监测治理平台.

#网站安全监测 #网站监测 #网站监控 #漏洞扫描 #代码审计 #渗透测试 #安全咨询 #安全合规 #AI #人工智能 #应用安全 #资产管理 #资产探测 #资产清点 #资产盘点 #资产发现 #资产梳理 #大数据 #安全评估

产品

STORK 软件成分分析平台

蜚语科技

116

于传统软件成分分析技术之上叠加了前沿的静态分析技术，帮助用户准确的梳理软件成分，更加精确的发现三方漏洞与License风险。

#SCA #软件成分分析 #软件成分分析 #开源 #供应链安全

产品

奇安信开源卫士

奇安信

104

奇安信的开源卫士是一款集成了开源组件识别与安全管控的软件成分分析与管理系统。它通过云端分析中心获取全球开源组件和漏洞信息，提供资产发现、风险分析、漏洞告警和安全管理服务，帮助用户掌握开源组件资产，及时获取漏洞信息，降低安全风险，确保软件交付安全。产品优势包括自主可控技术、多年技术数据积累和专业漏洞修复服务。

#软件成分分析 #SCA #软件成分分析 #资产发现 #漏洞情报