精华内容
下载资源
问答
  • 代码安全审计大全

    千次阅读 2018-08-09 10:29:08
     企业安全规划建设过程中,往往会涉及到开发的代码安全,而更多可以实现落地的是源代码安全审计中,使用自动化工具代替人工漏洞挖掘,并且可以交付给研发人员直接进行安全自查,同时也更符合SDL的原则,此外可以...

    原优质博文地址:https://blog.csdn.net/qq_29277155/article/details/80212659

    0×00   简介

        企业安全规划建设过程中,往往会涉及到开发的代码安全,而更多可以实现落地的是源代码安全审计中,使用自动化工具代替人工漏洞挖掘,并且可以交付给研发人员直接进行安全自查,同时也更符合SDL的原则,此外可以显著提高审计工作的效率。

    0×01 代码安全审计概述

    以下链接为当前比较热门的代码审计推荐文章,门类齐全,点评到位,很值得参考。

    http://www.freebuf.com/sectool/101256.html

    https://www.owasp.org/index.php

    https://www.dwheeler.com/essays/static-analysis-tools.html
    https://github.com/mre/awesome-static-analysis

    https://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis

    如何开发安全程序的教程
    https://www.dwheeler.com/secure-programs/3.71/Secure-Programs-HOWTO/index.html

     

    0×01 PHP代码审计

    1、RIPS开源

    一款开源的,具有较强漏洞挖掘能力的自动化代码审计工具。它使用PHP语言编写的,用于静态审计PHP代码的安全性。代码安全审计RIPS的主要功能特点如下:

    1)能够检测XSS、SQL注入、文件泄露、本地/远程文件包含、远程命令执行以及更多种类型的漏洞。
    2)有5种级别选项用于显示以及辅助调试扫描结果。
    3)标记存在漏洞的代码行。
    4)对变量高亮显示。
    5)在用户定义函数上悬停光标可以显示函数调用。
    6)在函数定义和调用之间灵活跳转。
    7)详细列出所有用户定义函数(包括定义和调用)、所有程序入口点(用户输入)和所有扫描过文件(包括include的文件)。
    8)以可视化的图表展示源代码文件、包含文件、函数及其调用。
    9)仅用几个鼠标点击就可以使用CURL创建针对检测到漏洞的EXP实例。
    10)详细列出每个漏洞的描述、举例、PoC、补丁和安全函数。
    11)7种不同的语法高亮显示模式。
    12)使用自顶向下或者自底向上的方式追溯显示扫描结果。
    13)一个支持PHP的本地服务器和浏览器即可满足使用需求。
    14) 正则搜索功能。

    当前有商业版,但开源已经够用了,最新版本的RIPS是0.55,下载链接如下:https://sourceforge.net/projects/rips-scanner/

    0×02 Java代码审计

    代码质量:findbugs

    代码安全:findsecuritybugs

    FindSecurityBugs是Java静态分析工具FindBugs的插件,通过一系列的规则发现代码中的Java安全漏洞。这个工具可以集成在很多IDE中,包括Eclipse或IntelliJ。目前这个项目已经在安全社区中获得了不少关注度。该工具的最新版本还增加了专门针对Android端产品的漏洞类型。因此,它也是一个不错的移动端安全扫描工具。如果你想更详细的了解它,可以去访问

    下载地址:http://findbugs.sourceforge.net/downloads.html

    https://www.jianshu.com/p/c43940c4e025

    https://find-sec-bugs.github.io/
    https://wiki.jenkins.io/display/JENKINS/FindBugs+Plugin
     

    0×03 其他语言代码审计

    1 .net
    https://security-code-scan.github.io/

     

    2.C++:   
    代码质量:cppcheck
    代码安全:
    flawfinder
    https://sourceforge.net/projects/flawfinder/
    http://www.doc88.com/p-669125880049.html
    https://sourceforge.net/p/flawfinder/feature-requests/4/ xml格式支持
     
    3.JS:
    代码质量:eslint
    代码安全:https://github.com/ajinabraham/NodeJsScan
    https://blog.csdn.net/yalishandalee/article/details/61916454
    https://github.com/nodesecurity/eslint-plugin-security#rules
    4.Go:
    代码质量:golint、go tool vet
    代码安全:gas
    https://github.com/GoASTScanner/gas
     
    5.Python:
    代码质量:pylint
    代码安全:bandit,py-find-injection,pyt
    https://wiki.openstack.org/wiki/Security/Projects/Bandit
    https://github.com/openstack/bandit
    https://github.com/uber/py-find-injection
    https://github.com/bit4woo/python_sec
    https://github.com/python-security/pyt
     
    6.多种语言的安全代码检查工具:sonar 
    https://docs.sonarqube.org/display/SONAR
    https://www.sonarsource.com/products/codeanalyzers/sonarjava/rules.html#Vulnerability_Detection
    https://github.com/SonarSource/sonarqub
     
    7.ruby
    https://github.com/thesp0nge/dawnscanner
    https://github.com/presidentbeef/brakeman
     

    0x04 商业代码审计工具

    1、 Fortify SCA

    Fortify Software公司是一家总部位于美国硅谷,致力于提供应用软件安全开发工具和管理方案的厂商。Fortify为应用软件开发组织、安全审计人员和应用安全管理人员提供工具并确立最佳的应用软件安全实践和策略,帮助他们在软件开发生命周期中花最少的时间和成本去识别和修复软件源代码中的安全隐患。

    Fortify SCA是一个静态的、白盒的软件源代码安全测试工具,它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。扫描的结果中不但包括详细的安全漏洞的信息,还会有相关的安全知识的说明,以及修复意见的提供。

    Fortify SCA支持Java,JSP,ASP.NET,C#,VB.NET,C,C++,COBOL,ColdFusion,

    Transact-SQL,PL/SQL,JavaScript/Ajax,Classic,ASP,VBScript,VB6,PHPjava,jsp多种语言,600多种风险类型,支持CWE/OWASP国际主流标准,交付形态为纯软件。

    2、Checkmarx CxSuite

    Checkmarx 是以色列的一家高科技软件公司。它的产品CheckmarxCxSuite专门设计为识别、跟踪和修复软件源代码上的技术和逻辑方面的安全风险。首创了以查询语言定位代码安全问题,其采用独特的词汇分析技术和CxQL专利查询技术来扫描和分析源代码中的安全漏洞和弱点。

    Checkmarx CxSuite的扫描结果可以以静态报表形式展示,也可以通过可以对软件安全漏洞和质量缺陷在代码的运行时的数据传递和调用图跟踪的代码缺陷的全过程,同时还可以提供对安全漏洞和质量缺陷进行修复提供指导建议。也可以对结果进行审计,从而消除误报。

    Checkmarx CxSuite支持JAVA、ASP.NET(C#、VB.NET)、JavaScript、Jscript、C/C++、APEX等语言,500多种风险类型,支持CWE/OWASP国际主流标准,交付形态为纯软件。

    3、360代码卫士

    360代码卫士是360企业安全集团基于多年源代码安全实践经验推出的新一代源代码安全检测解决方案,包括源代码缺陷检测、合规检测、溯源检测三大检测功能,同时360代码卫士还可实现软件安全开发生命周期管理,与企业已有代码版本管理系统、缺陷管理系统、构建工具等无缝对接,将源代码检测融入企业开发流程,实现软件源代码安全目标管理、自动化检测、差距分析、Bug修复追踪等功能,帮助企业以最小代价建立代码安全保障体系并落地实施,构筑信息系统的“内建安全”。

    代码卫士目前支持Windows、Linux、Android、Apple iOS、IBM AIX等平台上的代码安全检测,支持的编程语言涵盖C/C++/C#/Objective-C/Java/JSP/JavaScript/PHP/Python/Cobol等主流语言。在软件代码缺陷检测方面,代码卫士支持24大类,700多个小类代码安全缺陷的检测,兼容国际CWE、ISO/IEC 24772、OWASP Top 10、SANS Top 25等标准和最佳实践;在软件编码合规检测方面,代码卫士可支持US CERT C/C++/Java安全编码规范的检测,并可根据用户需求进行灵活定制;在开源代码溯源检测方面,代码卫士可支持80000多个开源代码模块识别,28000多个开源代码漏洞的检测。

    展开全文
  • 包括北大软件CoBOT、奇虎测腾的代码卫士、360企业代码卫士、清华大学软件学院Tsmart代码分析工具集、腾讯TscanCode开源静态扫描工具,端玛企业级静态源代码扫描分析平台DMSCA、找八哥源代码安全检测系统等。...

           在静态源代码检测工具方面,国内很多公司在研发产品,包括北大软件CoBOT、奇虎测腾的代码卫士、360企业代码卫士、清华大学软件学院Tsmart代码分析工具集、腾讯TscanCode开源静态扫描工具,端玛企业级静态源代码扫描分析平台DMSCA、找八哥源代码安全检测系统等。

           知名度比较高的可能是360的代码卫士,借助其公司品牌和免费杀毒软件等宣传,行业内知名度较高,但是工具本身可能并不如其品牌。目前产品比较成熟,推广较多的是北大软件的CoBOT,借助北京大学平台,在军方、政府、科院院所推广相对较多。奇虎测腾是奇安信旗下公司,代码卫士与360企业代码卫士名称很接近,不知道两个公司之间的关系。360开拓市场主要方法是通过分析一些知名企业、框架的代码,找到漏洞,进行宣传,同时与开源中国等网站进行合作,提升市场知名度。清华大学的Tsmart目前正在研发之中,可能主要是做一些国家课题为主,目前还在融资之中,清华大学下属企业中可能还没有企业认识到这方面的重要性,社会资本由于对该行业不了解,加上又是一个很细分的市场,可能也不会引入资金。腾讯对软件代码分析和成分分析认识比较早,在软件成分方面推出了哈勃分析系统,能够对多种文件类型进行在线成分分析,免费试用提供的信息相对比较少,不知道收费版本能够分析到何种程度。代码成分分析工具,未来在软件领域也应该是一个蓝海,据说,北大CoBOT团队的代码成分分析系统也即将发布。国内,能够分析二进制程序的工具几乎是空白,腾讯哈勃能够分析出PE代码中成分信息,应该是无法分析出缺陷和安全漏洞,目前北大CoBOT在二进制缺陷和安全漏洞分析上,应该正在突破,有望在2020年切入民用市场。端玛DMSCA产品在官网能看到的信息不多,提供的有价值信息少,支持开发语言、标准也还可以,不知道具体如何。找八哥是思客云公司的产品,通过介绍来看,应该是采用C#等windows平台上的开发语言开发的BS架构工具,支持的检测语言比较多,支持安全漏洞比较多,可能不是采用的主流检测引擎技术,检测效率上比较慢。

           随着国际环境的日益复杂,科技战影响到今后几年甚至更远的国家发展战略,国产软件,尤其是一些需要更多底层技术的软件工具、平台,也是需要大力发展的一个方面。针对源代码的缺陷检测、安全检测、开源代码成分分析、二进制文件木马和漏洞分析等市场看好,为了该领域的竞争越来越厉害,国外检测工具市场份额将减少,有可能逐渐退出国内市场。

        (完)

     

    展开全文
  • Fortify是一款功能强大的源代码安全审计工具,可以进行静态代码扫描来发现源代码中的安全问题。 本文介绍一下如何使用Fortify 17.10进行源代码扫描。 【环境准备】 系统版本:win10版本 [10.0.17134.706] 软件...

    Fortify是一款功能强大的源代码安全审计工具,可以进行静态代码扫描来发现源代码中的安全问题。

    本文介绍一下如何使用Fortify 17.10进行源代码扫描。

     

    【环境准备】

    系统版本:win10版本 [10.0.17134.706]

    软件版本:Fortify 17.10

     

    【软件下载地址】

    下载地址:安装包下载

    license下载地址: license下载

     

    【扫描方法】

    1、进入Fortify安装目录,再进入bin目录,双击auditworkbench.cmd启动程序

    2、打开扫描窗口,点击Scan Java Project

    3、选择要扫描的项目目录,点击确定按钮

    4、弹出java代码版本选择窗口,选择版本后,点击OK

    5、弹出审计向导窗口,点击Scan按钮开始扫描

    6、扫描开始,等待扫描结束,等待时间根据项目大小而定,可能时间会很长

    7、扫描结束后,显示扫描结果。到此使用Fortify 17.10进行源代码漏扫的方法就介绍完了。

     

     

     

    展开全文
  • 代码安全管理

    千次阅读 2017-08-22 12:57:29
    如何在不影响日常工作的情况下保护源代码安全,显然非常重要。通过DSA数据安全隔离技术,实现源代码在终端、网络以及服务器存储场景下全周期的安全管理,防止内部代码有意、无意泄露、扩散出去。与进程无关且不对源...

    众所周知,代码类数据有一个显著特征,即文件进程众多且调用关系复杂。如何在不影响日常工作的情况下保护源代码安全,显然非常重要。


    通过DSA数据安全隔离技术,实现源代码在终端、网络以及服务器存储场景下全周期的安全管理,防止内部代码有意、无意泄露、扩散出去。与进程无关且不对源代码本身进行处理,充分考虑了源代码进程众多、调用关系复杂这一显著特征,具有高安全性与稳定性。


    1、源代码终端安全管理

    以终端数据安全区为基础,在PC终端上构建源代码终端安全区。安全区内源代码无法通过磁盘、端口、网络等任意途径泄露、扩散,不出安全区则不受任何限制。



    2、源代码网络安全管理

    以源代码终端安全为基础,在内部网络上构建加密子网。在保障源代码不被泄露、扩散的前提下,实现源代码在加密子网内的自由存储、流转、使用。



    3、源代码服务器安全管理

    以源代码加密子网为基础,将SVN代码服务器通过准入控制纳入到加密子网内。实现源代码在终端、网络以及服务器存储场景下全周期的安全管理。




    展开全文
  • 静态源代码安全检测工具比较1. 概述随着网络的飞速发展,各种网络应用不断成熟,各种开发技术层出不穷,上网已经成为人们日常生活中的一个重要组成部分。在享受互联网带来的各种方便之处的同时,安全问题也变得...
  • Fortify SCA 源代码安全测试工具-----介绍    关于fortify成立于2003年的Fortify Software是全球领先的软件安全产品解决方案供应商。Fortify Software软件产品主要包括业界最优秀的软件安全源代码扫描器,业界...
  • 从微信小程序看前端代码安全

    万次阅读 2018-01-06 15:48:15
    起初在研究对移动网络传输进行功耗优化,在一次意外的监听网络传输包中截获了微信小程序的请求包,借此来窥探当下前端代码安全。 0x01 小程序分析 小程序包结构 Segment Name Length ...
  • 代码安全审计工具推荐

    千次阅读 2018-05-07 19:23:31
    0×00 简介企业安全规划建设过程中,往往会涉及到开发的代码安全,而更多可以实现落地的是源代码安全审计中,使用自动化工具代替人工漏洞挖掘,并且可以交付给研发人员直接进行安全自查,同时也更符合SDL的原则,...
  • 代码安全缺陷分析

    千次阅读 2018-01-03 09:28:37
    安全缺陷种类 本次测试涵盖各类常见安全缺陷。根据缺陷形成的原因、被利用的可能性、造成的危害程度和解决的难度等因素进行综合考虑,可以将常见的安全缺陷分为八类: 1、输入验证与表示(Input Validation ...
  • 静态代码安全扫描工具Cobra

    千次阅读 2019-01-21 17:35:42
    静态代码安全扫描工具Cobra 业务大了,代码多了,自然公司就有了代码审计的需求,因此需要找一款代码审计的工具软件。 眼镜蛇(Cobra)是一款定位于静态代码安全分析的工具,目标是为了找出源代码中存在的安全隐患或者...
  • 代码安全管理办法

    千次阅读 2017-08-23 13:54:13
    此处源代码安全管理是指以源代码文件为焦点、泄露风险为驱动,通过数据防泄密技术手段,避免源代码文件有意或无意泄露、扩散,最终实现源代码防泄密之目的。
  • 代码审计 企业级Web代码安全架构 完整版pdf
  • 这边给大家介绍一款可在本地使用的代码安全扫描插件,方便在开发阶段自动化安全检查,降低漏洞修复时间和减少漏洞出现的概率。 2. 插件简介 插件介绍:Find-Sec-Bugs 是一款本地 bug 扫描插件 “FindBugs-...
  • 国内的静态代码安全扫描工具好。国外的静态代码安全扫描产品检测能力比较优先,技术能力比较强,对新的技术,新的安全漏洞检测手段应用的比较好。但主要就是售后支持不太好,要让他们给你改个需求,定制个功能,几乎...
  • 关于HTML、js加密、混淆、源码保护、代码安全,防止解压直接看源码 我们先理下需求,加密的目的是什么?加密到什么级别?为此我们可以牺牲什么? 我们知道这个世界不存在绝对的安全,加密会被破解、混淆会被反混淆。...
  • java代码安全性检查机制

    千次阅读 2017-09-24 11:49:45
    java代码安全性检查机制:  首先由类加载器将类文件,也就是编译后产生的.class文件,加载到虚拟机中,它通过区分本机文件系统的类和网络系统导入的类来增加安全性,这就可以限制任何的特洛伊木马程序,因为本机类...
  • 金融项目经验之代码安全

    千次阅读 2016-03-10 22:00:35
    金融项目开发,貌似我都写了一个系列了~有兴趣可以看看~虽然不是专业搞网安~但简单的还懂点~做开发一方面熟知的漏洞如xss或者csrf或者sql注入另一方面就是代码写法的安全性~代码写法上不安全就会导致某些问题~...
  • 代码审计,大家估计见到最多的一般是web程序的代码审计。然而c/c++这种语言的代码审计估计就很少了。 今天我们要来学习一下,工欲善其事必先利其器,今天介绍一款审计的利器Flawfinder(当然同类的还有很多工具,...
  • vue项目可以封装在钉钉、微信里面,用浏览器打开,虽然看不到内容,但是可以查看...map文件的作用在于:项目打包后,代码都是经过压缩加密的,如果运行时报错,输出的错误信息无法准确得知是哪里的代码报错。有了map...
  • 代码安全加密解决方案

    千次阅读 2015-04-09 11:03:14
    企业级源代码加密软件主要是解决软件开发企业在开发过程中的源代码安全问题,现将苏州某软件开发企业的源代码加密系统使用过程中的问题与解决方案分享出来,仅供相关企业在考虑源代码加密软件时参考。
  • 代码混淆,应用加固
  • 本节课程是为后续Java代码审计课程的铺垫课程,本节课程中详细介绍了什么是Java安全代码审计、Java代码审计需要的前置知识等介绍性的内容,同时也给大家介绍了一款专门用于Java代码审计的扫描工具Fortify,该工具在...
  • 浅谈Java代码安全(一)

    千次阅读 2018-09-11 15:42:01
    对于代码安全这块,工作年限不多的开发人员或许一直不够重视,有的可能是公司规范上存在缺陷,也有的是个人态度上存在问题,之前看到一句话,安全倾向于 “明显没有漏洞”,而不是“没有明显漏洞” 个人觉得说的很对...
  • Java代码安全性的解析

    千次阅读 2015-04-25 15:53:17
    java的设计者已经编写了颇有影响力的白皮书,内容摘要可以用11个关键术语进行组织: ...通常安全性问题,很广很大,不能深入研究,所以大多数安全性的发问点都是和代码安全性有关系,相关的术语有
  • 想做一个整合开源安全代码扫描工具的代码安全分析平台,最近看的主要是PHP方向的工具: RIPShttp://rips-scanner.sourceforge.net/需要研究如何获取结果并转换,因为RIPS是基于网页输出结果的...C:\PHP Security
  • 互联网兴起以来,数据安全就一直是热点话题,频频出现在各大新闻头条。从国家机构、金融行业,到互联网行业,数据安全涉及广泛的领域。企业一旦遭遇数据泄漏,或许会带来营收下降、声誉受损、高额经济处罚、诉讼等...
  • 看CSDN有好长时间了,感谢那些善于分享的开发者,感谢你们 ,阅读你们的文章,我感觉有很快的进步,我一直也想写博客,把自己的见解和大家分享,只是苦于不知道写些什么,现在机会来了,我要把我研究的一些关于代码安全的试题...
  • 安全漏洞的源头是开发,只有当开发人员写出了包含安全漏洞的代码,黑客才有可乘之机。因此,如何保障开发写出更“安全”的代码,是安全防护工作中最关键的一环。 2004 年,微软提出了 SDL(Security Development ...
  • JAVA代码安全检测

    千次阅读 2011-02-23 11:53:00
    虽然客户仍然很关心您为他们构建的应用程序的可伸缩性和可用性,但他们可能变得也很关心安全性,而且要求特别严格。应用程序可能容易受到两类安全性威胁的攻击:静态和动态。虽然开发人员不能完全控制动态威胁...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,870,472
精华内容 748,188
关键字:

代码安全