在线观看www成人影院-在线观看www日本免费网站-在线观看www视频-在线观看操-欧美18在线-欧美1级

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評(píng)論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會(huì)員中心
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識(shí)你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

kiuwan:結(jié)合SAST和SCA工具(上)

哲想軟件 ? 來源:哲想軟件 ? 2023-02-02 13:45 ? 次閱讀

在創(chuàng)建、測(cè)試和部署軟件時(shí),許多開發(fā)公司現(xiàn)在使用專有軟件和開源軟件(OSS)。

專有軟件,也稱為封閉源代碼或非自由軟件,包括發(fā)布者或其他人保留修改、使用或共享修改的許可權(quán)利的應(yīng)用程序。示例包括 Adobe Flash Player、AdobePhotoshop、macOS、MicrosoftWindows 和 iTunes。

相比之下,OSS授予用戶使用、更改、研究軟件及其源代碼并將其分發(fā)給互聯(lián)網(wǎng)上任何人的能力。因此,任何人都可以參與軟件的開發(fā)。示例包括MongoDB、LibreOffice、ApacheHTTP Server 和 GNU/Linux操作系統(tǒng)

這意味著許多組織正在為其OSS 使用第三方代碼和模塊。雖然這些添加對(duì)許多應(yīng)用程序來說非常有用,但它們也會(huì)使組織面臨風(fēng)險(xiǎn)。根據(jù) Revenera 的2022 年軟件供應(yīng)鏈狀況報(bào)告,64%的組織受到 OSS依賴項(xiàng)漏洞引起的軟件供應(yīng)鏈攻擊的影響。

盡管OSS 會(huì)使組織面臨風(fēng)險(xiǎn),但避免OSS 軟件和依賴項(xiàng)是不切實(shí)際的。OSS 軟件和依賴項(xiàng)現(xiàn)在在開發(fā)中扮演著不可或缺的角色。對(duì)于 JavaScript、Ruby和 PHP應(yīng)用程序框架尤其如此,它們傾向于使用多個(gè)OSS 組件。

由于軟件公司實(shí)際上無法避免使用OSS,因此網(wǎng)絡(luò)安全團(tuán)隊(duì)必須通過使用軟件組合分析(SCA) 工具來避免與OSS 相關(guān)的漏洞。此外,他們需要將 SCA 與靜態(tài)應(yīng)用程序安全測(cè)試(SAST) 相結(jié)合,因?yàn)檫€使用了Microsoft Windows 和Adobe Acrobat 等專有軟件。

什么是SAST?

SAST是一種代碼掃描程序,可審查專有代碼和應(yīng)用程序源中的網(wǎng)絡(luò)安全弱點(diǎn)和錯(cuò)誤。SAST 也稱為白盒測(cè)試,被認(rèn)為是一種靜態(tài)方法,因?yàn)樗诓贿\(yùn)行應(yīng)用程序本身的情況下分析代碼。由于它只逐行讀取代碼而不執(zhí)行程序,SAST平臺(tái)在消除軟件產(chǎn)品開發(fā)生命周期(SDLC) 每一頁的安全漏洞方面非常有效,尤其是在開發(fā)的前幾個(gè)階段。

具體來說,SAST程序可以幫助團(tuán)隊(duì):

查找常見漏洞,例如緩沖區(qū)溢出、跨站點(diǎn)腳本和SQL 注入

驗(yàn)證開發(fā)團(tuán)隊(duì)是否符合開發(fā)標(biāo)準(zhǔn)

根除供應(yīng)鏈攻擊等蓄意違規(guī)行為

在代碼投入生產(chǎn)并制造漏洞之前發(fā)現(xiàn)弱點(diǎn)

掃描開發(fā)團(tuán)隊(duì)不知道的專有軟件錯(cuò)誤的所有可能狀態(tài)和路徑

通過在 SDLC的早期減少問題來實(shí)施主動(dòng)安全方法

SAST 在軟件開發(fā)中扮演著不可或缺的角色。通過在開發(fā)團(tuán)隊(duì)編寫代碼時(shí)向他們提供實(shí)時(shí)反饋,SAST可以幫助團(tuán)隊(duì)在進(jìn)入SDLC 的下一階段之前解決問題并消除問題。這可以防止錯(cuò)誤和漏洞累積。

什么是 SCA?

SCA 是一種代碼分析工具,可檢查源代碼、程序包管理器、容器映像、二進(jìn)制文件,并將它們列在稱為物料清單(BOM) 的已知漏洞清單中。然后,該軟件將 BOM與包含常見和已知漏洞信息的數(shù)據(jù)庫進(jìn)行比較,例如美國國家漏洞數(shù)據(jù)庫(NVD)。這種比較使網(wǎng)絡(luò)安全團(tuán)隊(duì)能夠發(fā)現(xiàn)關(guān)鍵的法律和安全漏洞并修復(fù)它們。

一些 SCA工具還可以比較它們的已知漏洞清單,以發(fā)現(xiàn)與開源代碼相關(guān)的許可證。尖端的 SCA 還可能能夠:

分析整體代碼質(zhì)量(即貢獻(xiàn)歷史和版本控制)

自動(dòng)化使用 OSS模塊的整個(gè)過程,包括根據(jù)需要選擇和阻止它們進(jìn)入IT 環(huán)境

針對(duì)組織部署應(yīng)用程序后報(bào)告的漏洞提供持續(xù)警報(bào)和監(jiān)控

檢測(cè)并映射無法通過其他工具發(fā)現(xiàn)的已知OSS 漏洞

通過識(shí)別開源包中的許可證,映射與OSS 依賴項(xiàng)相關(guān)的法律合規(guī)風(fēng)險(xiǎn)

監(jiān)控新漏洞

每個(gè)軟件開發(fā)組織都應(yīng)該考慮獲得SCA 以實(shí)現(xiàn)法律和安全合規(guī)性。SCA 安全、可靠且高效,使團(tuán)隊(duì)只需單擊幾下鼠標(biāo)即可跟蹤開源代碼。如果沒有 SCA,團(tuán)隊(duì)需要手動(dòng)跟蹤開源代碼,由于OSS 依賴項(xiàng)的數(shù)量驚人,這幾乎是不可能的。

審核編輯 :李倩

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請(qǐng)聯(lián)系本站處理。 舉報(bào)投訴
  • 開源軟件
    +關(guān)注

    關(guān)注

    0

    文章

    212

    瀏覽量

    16203
  • 操作系統(tǒng)
    +關(guān)注

    關(guān)注

    37

    文章

    7097

    瀏覽量

    124987
  • SCA
    SCA
    +關(guān)注

    關(guān)注

    1

    文章

    37

    瀏覽量

    12122

原文標(biāo)題:kiuwan:結(jié)合SAST 和 SCA工具(上)

文章出處:【微信號(hào):哲想軟件,微信公眾號(hào):哲想軟件】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。

收藏 人收藏

    評(píng)論

    相關(guān)推薦
    熱點(diǎn)推薦

    求一個(gè)SCA100t d02傳感器或者SCA60C的ad轉(zhuǎn)換電路,

    設(shè)計(jì)一個(gè)SCA100t d02傳感器或SCA60C傳感器的ad轉(zhuǎn)換電路,可以直接連到單片機(jī)上的,求大神幫忙~~
    發(fā)表于 07-09 14:11

    SCA平臺(tái)ARM組件的設(shè)計(jì)

    為了使一個(gè)波形能夠在多個(gè)平臺(tái)包括不同的操作系統(tǒng)和不同的硬件無縫移植,從手持到終端都使用同樣的體系結(jié)構(gòu),提出了軟件通信體系架構(gòu)SCA(Software Communication Architecture),其
    發(fā)表于 07-10 15:56 ?12次下載

    SCA廣播接收機(jī)

    SCA廣播接收機(jī)
    發(fā)表于 03-14 14:49 ?1045次閱讀
    <b class='flag-5'>SCA</b>廣播接收機(jī)

    SCA解調(diào)器

    SCA解調(diào)器
    發(fā)表于 10-02 17:31 ?754次閱讀
    <b class='flag-5'>SCA</b>解調(diào)器

    SCA體系結(jié)構(gòu)中ARM組件的設(shè)計(jì)

      SCA的出現(xiàn)使得軟件無線電的民用成為現(xiàn)實(shí),SCA是通信平臺(tái)組件可移植性、可交換性、互用性、軟件可重用性、體系結(jié)構(gòu)可擴(kuò)展性的一個(gè)標(biāo)準(zhǔn),這個(gè)標(biāo)準(zhǔn)主要體現(xiàn)在以下4個(gè)方
    發(fā)表于 08-27 10:54 ?1631次閱讀
    <b class='flag-5'>SCA</b>體系結(jié)構(gòu)中ARM組件的設(shè)計(jì)

    SCA61T中文資料

    SCA61T中文資料包含SCA61T的介紹與特性及應(yīng)用等等。
    發(fā)表于 09-23 16:15 ?218次下載
    <b class='flag-5'>SCA</b>61T中文資料

    基于ZedBoard的SCA架構(gòu)的設(shè)計(jì)原理

    ZedBoard是Xilinx公司首款融合了ARM Cortex A9雙核和7系列FPGA的全可編程片系統(tǒng),兼具ARM和FPGA兩者的優(yōu)勢(shì),是小型化SCA實(shí)現(xiàn)的最佳嵌入式平臺(tái)之一。本文介紹了
    發(fā)表于 11-17 07:19 ?6233次閱讀
    基于ZedBoard的<b class='flag-5'>SCA</b>架構(gòu)的設(shè)計(jì)原理

    基于源碼的二進(jìn)制SCA特征生成技術(shù)

    在二進(jìn)制SCA檢測(cè)原理中提到對(duì)于常量字符串、部分類名稱、函數(shù)名稱、以及一些配置信息還是存在的,并且這些信息具備一定的不變性;因此二進(jìn)制SCA工具其中的一部分特征來源就包含這些信息。因此在特征庫保存
    的頭像 發(fā)表于 10-13 13:56 ?1217次閱讀
    基于源碼的二進(jìn)制<b class='flag-5'>SCA</b>特征生成技術(shù)

    源代碼與二進(jìn)制文件SCA檢測(cè)原理

    SCA(Software Composition Analysis)軟件成分分析,通俗的理解就是通過分析軟件包含的一些信息和特征來實(shí)現(xiàn)對(duì)該軟件的識(shí)別、管理、追蹤的技術(shù)。SCA具體的檢測(cè)原理又是如何實(shí)現(xiàn)的,源代碼和二進(jìn)制文件的SCA
    的頭像 發(fā)表于 10-14 09:12 ?1318次閱讀

    如何使用SASTSCA緩解漏洞

    從本質(zhì)講,CI/CD管道是一種創(chuàng)建代碼、運(yùn)行測(cè)試(CI) 并安全部署新版本應(yīng)用程序(CD) 的管道。它是開發(fā)人員創(chuàng)建應(yīng)用程序新版本所需執(zhí)行的一系列步驟。如果沒有 CI/CD 管道,計(jì)算機(jī)工程師將不得不手動(dòng)完成所有工作,從而降低生產(chǎn)力。
    的頭像 發(fā)表于 02-06 14:05 ?1324次閱讀

    怎樣使用Kiuwan保護(hù)Android應(yīng)用程序呢?

    Kiuwan掃描 30多種語言的安全漏洞。這包括今天用于構(gòu)建移動(dòng)應(yīng)用程序的語言:Java,JavaScript,Swift,Objective-C等。
    的頭像 發(fā)表于 03-13 16:09 ?1166次閱讀

    ChatGPTScan-SAST安裝與使用

    0x01 工具介紹 一個(gè)基于 ChatGPT 的開源代碼審計(jì)平臺(tái)。 0x02 安裝與使用 1、首先克隆項(xiàng)目 ? git?clone?https://github.com/YulinSec
    的頭像 發(fā)表于 05-16 15:21 ?903次閱讀
    ChatGPTScan-<b class='flag-5'>SAST</b>安裝與使用

    White Source SAST—信息安全測(cè)試工具

    WhiteSource是一家AST(應(yīng)用程序安全測(cè)試)領(lǐng)域的專業(yè)供應(yīng)商,專注于信息安全咨詢與缺陷研究。WhiteSource提供的SAST產(chǎn)品旨在使用靜態(tài)應(yīng)用程序安全測(cè)試(SAST、白盒測(cè)試)技術(shù)
    的頭像 發(fā)表于 04-02 14:44 ?680次閱讀
    White Source <b class='flag-5'>SAST</b>—信息安全測(cè)試<b class='flag-5'>工具</b>

    一種SCA波形庫遠(yuǎn)程管理和SCA波形遠(yuǎn)程加載運(yùn)行的技術(shù)方案

    電子發(fā)燒友網(wǎng)站提供《一種SCA波形庫遠(yuǎn)程管理和SCA波形遠(yuǎn)程加載運(yùn)行的技術(shù)方案.pdf》資料免費(fèi)下載
    發(fā)表于 10-23 11:30 ?0次下載
    一種<b class='flag-5'>SCA</b>波形庫遠(yuǎn)程管理和<b class='flag-5'>SCA</b>波形遠(yuǎn)程加載運(yùn)行的技術(shù)方案

    基于SCA的軟件無線電系統(tǒng)的概念與架構(gòu)

    、標(biāo)準(zhǔn)化、模塊化的通用軟硬件平臺(tái),將各種功能,例如工作頻段、調(diào)制解調(diào)類型、數(shù)據(jù)格式、加密模式、通信協(xié)議等用軟件來實(shí)現(xiàn),通過在設(shè)備上面集成不同的通信軟件可以實(shí)現(xiàn)不同的通信模式和功能。SCA的源頭來自美國對(duì)于軟件定義無線電SDR的探索和發(fā)展,是SDR在通信架構(gòu)重大突破,是目
    的頭像 發(fā)表于 03-20 09:30 ?546次閱讀
    基于<b class='flag-5'>SCA</b>的軟件無線電系統(tǒng)的概念與架構(gòu)
    主站蜘蛛池模板: 欧美午夜在线视频 | 欧美成人26uuu欧美毛片 | 人人干人人草 | 色色色爱 | 国内激情自拍 | 久久香蕉国产精品一区二区三 | 一个色中文字幕 | 两性色午夜视频免费网 | 天天爽天天狼久久久综合 | 国产日日操 | 国产午夜在线观看视频播放 | 禁漫羞羞入口 | 久久免费视频99 | 亚洲午夜久久久精品影院 | 国产尤物在线视频 | 日本污视频网站 | 日韩亚洲欧洲在线com91tv | 手机看片1024国产基地 | 一级片影院 | 黄色三级在线观看 | 日韩美香港a一级毛片 | 欧美一级特黄aaaaaaa在线观看 | 另类毛片 | 欧美丝袜一区 | 在线观看日本免费视频大片一区 | 天天爱天天干天天操 | 狠狠躁夜夜躁人人爽天天天天 | 日本不卡在线视频 | 最好看的2019中文字幕免费高清 | 性欧美1819 | 天天干天天拍天天操 | 日韩一区二区在线观看 | 综合网激情五月 | 国产精品久久久精品三级 | 美女一级免费毛片 | 在线观看日本亚洲一区 | 亚洲精品免费视频 | 天天拍天天干天天操 | 秋霞一级特黄真人毛片 | 欧美freesex交| 成人人免费夜夜视频观看 |