- 2024-11-30(SAST检测规则-1)Android - 权限管理漏洞
所属分类:Android-权限管理漏洞缺陷详解:应用未正确实施最小权限原则或滥用已声明的权限可能导致敏感信息泄露。例如,恶意代码利用已授予的权限绕过用户授权,访问通讯录、位置、短信等敏感资源。部分开发者还可能滥用权限以执行不必要的操作,违反用户隐私或安全性。导致结果和风险
- 2024-10-09新一代 Java 代码审计工具—铲子 SAST
.产品定位铲子SAST是一款简单易用的JAVASAST(静态应用程序安全测试)工具,旨在为安全工程师提供一款简单、好用、价格厚道的代码安全扫描产品。一分钟即可完成安装|一个按钮创建扫描任务|一键查看漏洞数据流支持主流的java开发框架| 采用轻量、快捷的污点分析|支
- 2024-08-08什么是动态应用程序安全测试? 和静态应用程序安全测试有什么区别?
动态应用程序安全测试(DAST)是在运行时分析Web应用程序以识别安全漏洞或缺陷的过程。在DAST中,测试人员在应用程序运行时检查应用程序,并试图像黑客一样攻击它。DAST工具提供有关应用响应的信息,帮助开发人员识别和消除威胁。DAST是如何工作的?DAST是一种黑盒测试,是从应用
- 2024-04-08SAST-数据流分析方法-理论
引言众所周知,数据流分析是实现污点分析的一种常用技术数据流分析分为过程内的数据流分析与过程间的数据流分析。前者是对一个方法体内的数据流分析,主要是基于CFG分析,不涉及方法调用;后者是基于不同方法间的数据流分析,主要是基于ICFG+CG分析,会涉及方法调用。一、过程内数据流分析
- 2024-03-21如何打破SAST代码审计工具的局限性?
关键词:白盒测试;代码分析工具;代码扫描工具;静态代码检测工具;在代码的世界里,安全问题如同潜伏的暗礁,随时可能让航行中的软件项目触礁沉没。SAST代码审计工具如同雷达一样,以其独特的检测能力帮助开发者在代码层面进行深度扫描,识别并定位出潜在的安全漏洞。然而,即便是如此强大
- 2023-11-10深度解密 | 灵脉SAST 3.0最新特性曝光
一、多模智能引擎焕新2023年6月,灵脉SAST入选国际权威咨询机构Forrester发布的《TheStaticApplicationSecurityTestingLandscape》报告成为全球范围内仅有的两款亚太区SAST代表产品之一。此次3.0版本重大焕新,灵脉SAST从检测工具的灵魂核心入手,对引擎进行重构升级,运用多模核心技
- 2023-09-27代码检查过程中为什么需要涉及到编译呢?
本文分享自华为云社区 《代码检查过程中为什么需要涉及到编译呢?》,作者:gentle_zhou。随着大家对软件安全越来越重视,在编码阶段针对源码安全的保障也被各行各业企业研发测试运维团队与个人开发者越来越频繁的被提及,其中静态代码检查SAST工具尤为突出。SAST代码检查服务作为一款可
- 2023-07-12SAST扫描
这是一种无需运行程序即可调试代码的方法。它根据预定义的规则集分析代码。SonarQube允许所有开发人员编写更清洁、更安全的代码。它支持多种用于扫描的编程语言(Java、Kotlin、Go、JavaScript)。它还支持为代码覆盖率运行单元测试。它可以轻松地与Jenkins和AzureDevOps集成
- 2023-03-27选择静态应用程序测试工具(SAST)的七点清单
从汽车到飞机,从医疗设备到工业控制系统,许多现代化产品都需要由软件驱动,安全问题已经成为制造商关注的重点问题。软件缺陷不仅会通过引入可被攻击者利用的漏洞影响安全性,还
- 2023-01-28AppScan
AppScan入门介绍动态(DAST)分析黑盒扫描静态(SAST)分析白盒扫描交互式(IAST)分析开源分析注册及使用试用https://hclcust.okta.com/signin/register创建
- 2023-01-12选择Fortify静态代码分析工具作为您的下一个SAST工具是正确的吗?
嵌入式系统有很多,但真正能支持嵌入式软件开发人员的静态代码分析工具却很少。OpenText最近对MicroFocus(包括Fortify静态代码分析工具)的收购,重新引发了一个问题,即哪种静
- 2023-01-06什么是 DevSecOps?
DevSecOps分别代表开发、安全和运营。这是一个新的工作流程,涉及将安全实践集成到所有DevOps流程中。DevSecOps在开发过程的早期进行安全实践和实施。这就创造了一种文化,即
- 2023-01-03专注软件供应链安全,「安势信息」完成数千万元级别Pre-A轮融资
近日,专注软件供应链安全的「安势信息」宣布已完成Pre-A轮融资。本轮融资金额在数千万元级别,领投方为微智数科,晨壹投资跟投,山景资本担任独家财务顾问。安势信息成立于2021
- 2023-01-01DevSecOps之静态代码分析(浅)
什么是静态代码分析静态应用安全测试(SAST)也称静态分析,是一种测试方法,通过分析源代码发现容易让组织的应用受到攻击的安全漏洞。SAST在编译代码之前扫描应用。它也称
- 2022-12-31gitlab 集成的一些SAST安全扫描工具
企业内部使用gitlab作为源代码管理的越来越多了,同时目前gitlab不少企业特性也开源的社区免费版了,以下是支持的SAST清单可以参考参考清单Language(packagemanagers)/f
- 2022-12-30SAST 与 DAST
DAST和SAST工具采用不同的方法来测试应用程序安全性,在软件生命周期的不同阶段工作,并且具有不同的优势和局限性。SAST工具在源代码中查找缺陷漏洞,通常在开发早期。DAS
- 2022-12-28gitlab 集成的一些SAST安全扫描工具
企业内部使用gitlab作为源代码管理的越来越多了,同时目前gitlab不少企业特性也开源的社区免费版了,以下是支持的SAST清单可以参考参考清单Language(packagemanage
- 2022-12-15浅析静态应用安全测试
摘要:根据Forrester的TheStateOfApplicationSecurity,2022一文的预测,应用安全性的缺失将仍然是最常见的外部攻击方式,因此SAST将会在可预见的未来一直被重视。本文分
- 2022-08-17SAST、DAST、IAST和RAST
根据美国国家标准与技术局(NIST)、国家漏洞数据库(NVD)数据显示,90%以上的网络安全问题是由软件自身的安全漏洞被利用导致。不用说,在软件开发阶段消除这些缺陷可以减少当今