DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > 高防服务器 > 正文

ddos防护_抗ddos是什么意思_如何解决

ddos防护_抗ddos是什么意思_如何解决

介绍静态分析工具目前在工业、学术界和开源领域得到了广泛的应用,因此,越来越需要促进它们与其他软件开发工具的集成。本文介绍了一种现有的交换结果的文件格式,并提出了一种协议的开发方案,以允许工具动态交互。这旨在解决以下用例:一种IDE,如Eclipse,或代码编辑器(如VS代码)。用户喜欢看到覆盖在正常代码视图上的静态分析结果。代码评审工具,如Phabricator或github审查子系统。可以设置静态分析工具,以填充对diff的注释来填充审阅。一种结果分析工具,如SonaQube,需要将来自多个静态分析工具的信息集成到仪表板或报告中。一种bug跟踪系统,如Jira或Bugzilla。用户可能想询问在最近的分析中是否检测到报告的缺陷。一个持续的集成系统,如詹金斯。静态分析工具的结果可以用来指示构建的状态。E、 g.任何"严重"安全发现都可能导致构建被视为"失败"。所有这些用例目前都由两对工具之间的点对点集成来处理。这种集成很脆弱,因为本地工具文件格式经常变化,工具之间交换信息的方法也经常发生变化。本文档描述了一种更好的方法。图1。静态分析工具和其他DevPS工具之间的连接通常是点对点的。下一节介绍用于交换结果的标准文件格式SARIF。接下来是SASP的描述——一种用于允许工具主动通信的提议协议。最后,我们描述了我们促进这一框架的计划。萨里夫SARIF(发音为SA-rif)表示静态分析结果交换格式1。它起源于微软,现在是OASIS下正在开发的标准。技术委员会有来自几个静态分析工具供应商(包括GrammaTech)和大型用户的成员。看https://www.oasis-open.org/committees/tc_uhome.php?wg_uabbrev=sarif,以了解有关标准的更多信息。标准文件本身可在此处找到:https://github.com/oasis-tcs/sarif-spec。SARIF设计的目的不仅是传递结果,还可以传递关于工具的元数据、调用方式、时间戳等。它是JSON格式。下面是一个示例的片段:"results":[{ruleId":"C2001","message":{"text":"Variable"count"未初始化就使用。","richText":"Variable`count`未初始化。"},"locations":[{physicalLocation":{"uri":文件:build.example.com/work/src/collections/list.cpp","region":{"startine":15},"FullyQualifiedLogicName":"集合:"列表:添加"        }      ]上面的示例显示了如何用文件中的代码行来表示工具的结果。但是,它不限于将结果报告为一个点:它还可以表示执行路径,甚至在多个线程中。编写一个适配器相对容易,该适配器从工具中获取输出文件,并将其转换为SARIF。然而,这种原生文件格式很少像SARIF那样表现,因此有关结果的有用信息可能会丢失。SARIF SDK给出了一些示例,包括Plist的转换器(由Clang静态分析器和Cppcheck使用)和推断使用的文件格式。看https://github.com/sarif-standard详情。SARIF的观众正在变得可用。有一个用于MS Visual Studio,另一个用于VS代码。萨里夫正在沼泽中使用(https://www.mir-沼泽.org/). 随着更多工具的可用性和工具的改变,SARIF可能会变得更广泛地被采用,从而产生SARIF。有关详细信息,请参阅最后一节。SASPSARIF是一个非常有用的标准,但它面向分析工具的批处理执行。为了鼓励工具积极交流,需要一个协议。我们提出了SASP(staticanalysisserver协议)来填补这个空白。请注意,SASP仍处于初级阶段。这些想法正在发展,但目前还没有具体的说明。最后一节介绍了我们计划如何推进这一点。一个关键原则是:SASP旨在大力利用SARIF。在所有要交换分析结果或其元数据的情况下,信息将以SARIF格式表示。在任何大规模部署静态分析工具时,一个重要的组件是结果管理器。这是原始结果存储的地方,但是管理器还允许创建和操纵这些结果的用户注释。CodeSonar®的hub是一个很好的结果管理器示例。它作为分布式服务器运行;客户端是生成分析的工具,以及希望查询结果的工具。它还作为一个web服务器运行,为用户提供了一个丰富的界面,可以通过标准web客户端查看和处理结果。为了说明SASP将如何工作,请考虑Github适配器需要与结果管理器通信以填充带有注释的拉动请求的审阅的用例。适配器向结果管理器形成查询,询问哪些分析具有与pull请求更改的代码相关的结果。结果管理器验证请求(结果管理器必须是安全的),并使用一组结果进行响应。通常,这些将通过排除以下内容进行筛选:无趣的结果(例如得分低于阈值的结果)。用户将结果注释为假阳性或"不在乎"。用户未被授权查看的结果(同样,DDOS防御值什么价格,安全性很重要)。分析结果作为一个SARIF文档传递给适配器,该文档中包含了用于生成这些结果的查询的元数据。适配器创建Github审阅注释并将其添加到pull请求线程适配器向结果管理器发送对每个注释的引用,以便在Github外部的上下文中查看结果的用户可以看到它与审阅关联。该协议的核心部分是指定查询的一种方法。我们的方法是允许使用GraphQL规范此查询:https://graphql.org/。其他工程考虑因素包括以下内容。由于协议的普遍性和通用性,协议将基于HTTP。它将需要支持安全的身份验证机制。状态将是必需的,这意味着需要会话。分析工具的结果可能会变得巨大,因此协议将支持结果流,这样就不必在采取行动之前将所有内容存储在内存中。容错将非常重要;超时、中断连接、格式错误的请求、身份验证或授权失败等。下一节介绍了我们将SASP成熟并鼓励其采用的计划。计划GrammaTech致力于在SARIF和SASP上工作,ddos防御费用,作为开放工具分析生态系统的一部分,ddos攻击防御工具,该项目由一个名为STAMP的美国政府项目支持,其目标是资助静态分析工具的现代化(见https://www.dhs.gov/science-and-technology/csd-stamp). SARIF已经是一个开放协议,SASP也将是。我们鼓励其他有关各方参与这项努力。此外,我们还将努力使具体工具现代化,具体如下:如上所述,我们编写了转换Plist表单(Clang静态分析器和Cppcheck)的适配器,Facebook将推断输出转换为SARIF。这些都是Github上的SARIF SDK的贡献。我们编写了一个适配器,将输出从Pylint(包括该系列中的其他工具)转换为SARIF。这在具有开源许可证的GramatechGithub上可用(https://github.com/GrammaTech/pylit-sarif). 下一步是使Pylint适应于本地输出SARIF。我们编写了代码,允许Clang静态分析器本地输出SARIF。这将为宗族社区作出贡献。我们正在按照上面描述的行编写一个Github适配器。这将使用SASP的草稿版本,也将作为开源发布。CodeSonar®已更改,以便既可以导入也可以导出SARIF。注意,尽管CodeSonar®本身不是开放源代码,但我们认为,为这些开源努力作出贡献将加强整个社区,并导致商业工具的更大市场。开源的努力是为了促进SARIF并启动SASP。然而,我们认为,除非有来自社会的购买,否则国资委将不会成功。因此,免费cc防御,我们的目标是大力促进SARIF和SASP的使用和采用。我们打算通过出席和在行业活动以及社交媒体上的会谈来实现这一点。一旦有了议定书的规范,我们将探索正式标准化和更广泛的发布机制。自然家园很可能是绿洲,旁边是萨里夫。我们呼吁有关各方与我们一道努力。请联系我们了解更多信息。1从国际上看,尽管SARIF主要用于静态分析工具的结果,但也可以用来描述许多动态分析工具的结果。我们成功地编写了一个从Valgrind输出到SARIF的转换器,抗ddos攻击防御系统,另一个转换器创建了SARIF,以显示来自核心转储的堆栈跟踪。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/61018.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8134903访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X