研发阶段的质量与安全测试实战——使用静态分析技术找到“真正”的代码质量缺陷与安全漏洞

概要
绝大多数的研发团队都将测试工作放在研发阶段之后，Bug 的调试分析和回归测试工作需要大量的人力/时间成本。代码静态分析技术作为有效的白盒测试手段，能够直接定位到代码中的质量缺陷和安全漏洞，达到“早期发现，早期修复”的目标。但另一方面静态分析技术普遍存在误报率高性能较差的问题。本主题将通过真实的质量缺陷和安全漏洞实例详解代码静态分析的技术原理误报消除和实际应用.

个人简介

韩葆，毕业于北京工业大学计算机学院，早年在 Sun 中国研究院为 OpenSolaris 操作系统搭建测试平台。后进入安全测试领域，深入研究白盒测试、静态分析、网络协议 Fuzzing、渗透测试等技术。经历了研发测试行业和软件安全行业在中国从无到有，从小到大的整个过程。2013 年作为中国区首席工程师加入 Coverity（2014年被Synopsys收购），成功的将静态分析技术引入中国，在 2014 年和 2015 年两次作为中国质量竞争力大会演讲嘉宾介绍代码静态分析与软件安全测试技术。目前担任 Synopsys Software Integrity Group 客户经理，致力于软件团队的研发测试与软件安全平台搭建，改善软件质量，提高软件安全性。

QCon是由InfoQ主办的全球顶级技术盛会，每年在伦敦、北京、东京、纽约、圣保罗、上海、旧金山召开。自2007年3月份首次举办以来，已经有超万名高级技术人员参加过QCon大会。QCon内容源于实践并面向社区，演讲嘉宾依据热点话题，面向5年以上的技术团队负责人、架构师、工程总监、高级开发人员分享技术创新和最佳实践。