DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

网站安全防护_云盾石地砖怎么样_3天试用

01-12 WEB安全

网站安全防护_云盾石地砖怎么样_3天试用

简介:最近人们对所谓的"软件供应链"的兴趣凸显了使用和重用现有软件的重要性。公司意识到他们需要多买少建才能达到他们的商业目标。然而,重用开源软件和商业软件确实存在风险。产品中包含的软件必须满足所需的质量和安全目标。自动化第三方代码和二进制文件的分析和审核是确保软件供应链质量的一种方法。这篇文章着眼于软件供应链的风险和回报,以及高级静态分析如何改善结果相关的用二进制分析管理第三方代码的安全性和质量软件供应链自动化加强安全的三种方法降低医疗器械软件供应链的风险重用、COTS和开源不"改头换面"对生产力的好处是显而易见的。理想情况下,您尽可能多地重用自己的代码;但是,它很可能不缺乏安全性和质量问题。免费和开放源码软件通常质量很好,尤其是当用于整个子系统时,例如操作系统、web服务器、文件系统和网络层时,尤其如此。这同样适用于商用现货(COTS)软件。同样,安全性和质量取决于软件的来源。在大多数情况下,您不确定重用的组件是否安全和高质量,因此必须采取措施来减轻这种风险软件供应链中的风险软件供应链的风险包括但不限于:安全性:尽管开发人员尽了最大的努力,但在开发过程中,安全性常常被忽视或根本不是一个优先事项。但是,无论何时在项目中使用第三方源代码、库或目标代码,都会继承任何现有的安全漏洞。这带来了两个关键风险。第一个风险是,当供应商/开发人员发布安全更新时,您必须使第三方软件保持最新。第二个风险是,任何隐藏或未公开的漏洞现在都是系统的一部分。安全性:创建安全关键系统的开发人员了解为这些设备编写和测试代码的严格标准。但是,包含第三方软件必须遵守相同的标准,或者在内部进行分析和测试,并且需要额外的时间和成本。如果产品需要安全认证,认证机构通常需要关于第三方代码是如何使用和解释的完整文件——这是一个额外的成本。质量:如果第三方软件出现不一定与安全或安全相关的bug,它们仍然可能导致中断、性能差和客户满意度问题。同样,您的产品会继承这些问题,因此了解所使用软件的质量是至关重要的。许可:在处理重用软件时,一个特别重要的问题是许可。开源并不一定可以在商业产品中自由使用,或者如果是的话,产品中的再分配可能需要满足法律要求。包含第三方软件的设备正在重新分发其中使用的任何源代码或二进制文件,这是开放源代码的一个独特用例。如果不能正确管理项目中使用的所有第三方源代码和二进制文件的许可证,则存在重大的法律风险。软件供应链自动化手工检查大量的第三方软件是不现实的。即使是源代码形式,也很难检查不是内部开发的代码。此外,几乎不可能检查二进制对象文件和库。有效处理这种涌入的唯一方法是自动化。自动化不仅仅包括检查,还包括变更和缺陷/安全管理、补丁和更新、测试以及静态和动态分析。在这篇文章中感兴趣的是高级源代码和二进制静态分析在降低软件供应链风险方面所起的重要作用静态分析的作用静态分析工具提供代码的质量和安全评估,全球DDoS防御,而无需进行大量的实际测试或对代码或源代码的理解。可以检测安全漏洞和严重漏洞,并对其进行因果分析。详细的报告可以发送给软件供应商或内部团队进行修复。开源项目可以得到通知,并且可以为它们提交bug报告。静态分析工具通常搜索公共弱点枚举(CWE)描述的已知编程问题,例如缓冲区溢出和空指针异常。然而,现代静态分析工具也可以扩展到包括特定于域的检查程序,即专门针对您的软件系统进行的验证示例静态分析可以发现的一些漏洞类型的示例是缓冲区溢出,在这种情况下,哪里有免费高防cdn,内存被写入或读取超出了缓冲区的边界。这些类型的错误在测试期间通常不会被检测到,因为它们并不总是触发失败的测试用例,或者因为缓冲区溢出不会被测试用例的输入击中,或者因为缓冲区溢出仍然不会导致失败的测试用例,但是应用程序可能仍然有损坏的内存,并在以后导致问题。这种类型的问题是以前报告的诸如心血之类的漏洞的基础。一个更特定于域的测试可以是,为了使特定的应用程序正常运行,需要在调用某个函数之前对用户进行授权。一个静态分析工具可以被扩展来对规则进行编码,并且可以用来验证该属性并确保它不会被违反,即使在存在第三方代码或遗留代码的情况下也是如此二进制代码分析GrammaTech的二进制分析技术内置于CodeSonar中。它可以评估对象和库文件的质量和安全漏洞,通过检测工具链引起的错误和漏洞来增强静态源代码分析。它还可以用来评估从调用源到二进制对象的库函数的正确使用,使源代码和二进制分析的结合成为一个非常强大的工具。虽然解决第三方代码中发现的问题的可能性通常是有限的,但是二进制分析确实为代码的质量和安全性提供了一个风向标。它可以提供第三方代码发布的质量指标,而不是发布版本,可以用来管理与供应商的关系。它还可以用来发现漏洞,然后返回供应商的技术支持部门,防御ddos套餐,要求对发现的漏洞进行确认和分析。这里的关键是更好地理解产品的漏洞——使用二进制分析发现存在大量安全问题的第三方软件必须在内部或通过与软件供应商协商来妥善处理。二进制和信源混合分析当二进制分析与源代码分析混合使用时,它真的很耀眼。与二进制分析相比,怎么识别假的ddos防御,源静态分析包含更多有关软件意图和设计的信息。然而,无论何时调用外部库,包括标准的C/C++库,静态分析都不能判断函数的使用是否正确(当然,对于已知的函数,1g带宽防御ddos,如"SycPyIf())),假设。通过结合源代码和二进制分析,可以进行更完整的分析。例如,如果外部函数使用指向缓冲区的指针,并且错误使用参数可能导致缓冲区溢出,则混合静态分析可以检测到该问题结论:增加对软件供应链的关注是件好事。认识到重用更具生产力意味着开发团队可以专注于区分特性。然而,供应链存在需要解决的风险,而自动化是关键。静态分析工具是第三方代码管理的关键部分,有助于降低成本和风险。就像你读的?下载我们的白皮书"使用二进制分析消除第三方代码中的漏洞"以了解更多信息hbspt.cta公司.\u relativeUrls=真;hbspt.cta.负荷(582328,'0da4b110-669c-481f-8096-6da4de44cbd1',{});

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /web/61055.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8140219访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X