DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > CC防护 > 正文

ddos防御_防御CC服务器_怎么办

01-11 CC防护

ddos防御_防御CC服务器_怎么办

在现有的软件开发过程和已建立的代码库中采用任何新工具总是一个挑战。静态分析工具也没有什么不同,但是有一些步骤可以使转换更容易,并且可以顺利地将这些工具引入到现有的工作流中。此外,这里概述的技术对于引入新的静态分析特性并从静态分析中获得最大的投资回报是非常有用的。充分利用静态分析处理遗留代码(以及任何新采用的静态分析)的关键步骤如下:确定最终目标:没有明确的目标,很难衡量成功与否。目标是提高安全性吗?减少交付产品的缺陷数量?是否符合编码标准?设定目标是至关重要的,因为这将推动静态分析工具在开发过程中的使用方式。关注一个关键的标准也能从工具的采用中获得最大的价值。建立基线报告:在初始设置和安装静态分析工具之后,首先查看第一个完整的警告报告。这份初始报告是在项目中采用静态分析的重要起点。这里的关键是不要被警告的数量吓倒。随着时间的推移,有应对这些问题的策略,并非所有的警告都具有同等的严重性。在GrammaTech CodeSonar的例子中,所有警告都有一个分数,这有助于首先识别和解决最危险的问题。停止流血:为了开始提高项目的质量,重要的是要确保在代码更改或添加新代码时没有添加新的缺陷。这是通过在最新报告和基线报告之间创建比较来完成的,以查找由于新代码或对旧代码的更改而引入的新警告。首要任务应该是修复在每次迭代中引入的任何新缺陷。随着时间的推移,解决积压问题:静态分析报告不会增加现有的技术债务,而是会揭示出实际存在的问题。首先,对现有代码和遗留代码的静态分析通常看起来令人望而生畏,因为警告的数量很多,ddos防御脚本,尤其是在代码库很大的情况下。并非所有警告都是高严重级别的,目标不必是将警告减少到零。还有其他的策略可能更有意义,比如"修复所有安全漏洞,得分超过50分"。使用CodeSonar等高级工具中内置的过滤和搜索工具有助于确定修复警告的优先级。从最重要的投资回报率分析得到最重要的投资回报率。配置、搜索和筛选静态分析工具的一个经常被忽视的方面是它们的数据管理能力。在处理数百万行代码的大型报表时,管理生成的数据是使工具有用的关键。有几种方法可以帮助开发人员将注意力集中在最重要的警告上,这可以通过几种方式来处理,而且通常是结合使用。大多数静态分析工具都提供某种配置选项,用于确定启用/禁用哪些警告类型。同样重要的是,每个警告都要存储一个状态和历史,这样就可以随着时间的推移对其进行跟踪。警告需要根据严重程度进行分类,google防御ddos,在使用CodeSonar的情况下,将给出一个分数,该分数将警告的严重性和可能性结合起来,即"真正的正面"。让我们更详细地考虑这些方面:配置以CodeSonar为例,它附带了一个默认的设置配置,这些配置是跨越不同类组的重要警告的推荐基线。默认预设提供了不断增加的警告级别的深度和广度:介绍;当第一次将静态分析引入项目时非常好用,它以最高的精度关注最危险的类。默认值;为了深入一点,这个预置为每个重要类中的关键缺陷提供了更深入的覆盖彻底;增加了分析引擎允许的计算时间,从而发现更深层、更复杂的警告。当然,这些预置可以进一步定制,bp神经网络怎么防御ddos攻击,例如只配置对每个软件团队最重要的警告类。如果某些警告类对项目很重要,例如,为了确保源代码符合MISRA C,这是一个好主意。可能有一些错误类被认为不重要,ddos防御多少钱,可以从按配置分析中永久删除。搜索CodeSonar提供了一种灵活的搜索机制(能够保存搜索),可以根据状态、警告分数、错误类别、重要性和许多其他因素,将大量警告缩小到更易于管理的数量。当然,可以对已评估的属性或与警告相关的其他属性进行筛选。过滤filter-and-focus方法尝试将高优先级警告作为当前工作流的一部分而不是在以后处理。这对于隔离特定警告非常有用,例如,在具有外部接口的代码中搜索缓冲区溢出。另一个例子是按组件(如第三方代码或测试代码中的警告)过滤掉。评估结果重要的是要认识到,对警告所做的任何评估都是从一个分析运行持续到另一个分析运行。如果某个东西被标记为错误或真实缺陷,则无需在将来重新进行这些评估,并且此工作不会丢失。与许多人可能熟悉的类似编译器的警告相比,这是一个巨大的生产力提升。一个工程师可以存储一个软件的多个属性:警告的状态表示其在评估过程中的位置。在审查警告时,根据分析和补救的结果将其置于不同的状态。例如,一个被证明是真实错误的警告可以被分配给一个开发人员进行修复,并标记为"assigned"工程师通常使用警告的优先级来指示警告的紧迫性,或者在大多数搜索中禁止警告。关于评估结果的讨论,真阳性和假阳性见上一篇文章。总而言之:静态分析工具的有用性在于它是否能够在遗留代码中找到合理数量的重要bug,而不必向开发人员发出警告,也不需要使用不合理的计算资源。然而,即使是具有完美召回功能(工具发现真实缺陷的能力)的工具,如果精度也很差(工具排除误报的能力),也会变得更糟。过多的假阳性会淹没真阳性,同时,只关注减少假阳性会导致漏掉真缺陷。静态分析工具的成功依赖于它们平衡精度和处理误报的能力。摘要采用静态分析作为开发项目的一部分,c防御ddos源码,有很大一部分遗留代码,一开始可能会让人望而生畏。但是,有一些简单的技术可以用来减少初始警告的数量,从而使工具和过程更容易被新用户接受。使用延迟不太关键的问题和防止新的bug进入代码库的方法可以为静态分析提供最佳的投资回报。随着时间的推移,团队可以在优先级/严重性的基础上研究积压的警告。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/60999.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8132430访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X