SAST静态分析第11页

【移动安全基础篇】——16、静态分析的概念与定位关键代码

静态分析：不运行代码的情况下，阅读反汇编代码掌握程序功能两种方法：1.阅读Dalvik字节码(通过baksmali反编译dex文件生成samli文件)2.阅读java代码(通过dex2jar生成jar文件

FLy_鹏程万里·2023-01-16 12:04

【移动安全高级篇】————12、静态分析

Android逆向就是反编译的过程，因为看不懂Android正向编译后的结果所以CTF中静态分析的前提是将出现文件反编译到我们看得懂一层源码，进行静态分析。

FLy_鹏程万里·2023-01-16 12:04

【移动安全】—apk反编译基础及静态分析

作者名：Demo不是emo主页面链接：主页传送门创作初心：舞台再大，你不上台，永远是观众，没人会关心你努不努力，摔的痛不痛，他们只会看你最后站在什么位置，然后羡慕或鄙夷座右铭：不要让时代的悲哀成为你的悲哀专研方向：网络安全，数据结构每日emo：ctf被大佬吊打的一天，裂开目录一、常见术语1、APK文件2、APK文件目录[1]、META-INF文件夹[2]、res文件夹二、Apk打包流程三、adb介

白昼安全·2023-01-16 12:32

代码质量与安全 | 使用Incredibuild加速Klocwork静态代码分析

Klocwork是一款优秀的静态代码分析和SAST工具，适用于C、C++、C#、Java、JavaScript、Python和Kotlin，可识别软件安全性、质量和可靠性问题，帮助强制遵守标准。

·2023-01-13 12:31

软件测试复习02：静态测试

——曾国藩文章目录评审评审过程角色和职责评审类型静态分析控制流分析数据流分析编码标准一致性检查桌面检查代码走查代码审查课堂练习评审评审过程组建评审组评审组长负责主持和控制全部评审活动评审计划评审准备评审会提交评审报告建立评审过程角色和职责主审员

非妃是公主·2023-01-12 08:06

JVM-逃逸分析浅析

逃逸分析简介逃逸分析定义：一种确定指针动态范围的静态分析，它可以分析在程序的哪些地方可以访问到指针。

ALONG20·2023-01-10 19:50

资源分享 | PyTea：不用运行代码，静态分析pytorch模型的错误

前言本文介绍一个Pytorch模型的静态分析器PyTea，它不需要运行代码，即可在几秒钟之内扫描分析出模型中的张量形状错误。文末附使用方法。

CV技术指南(公众号)·2023-01-04 08:36

行业认证标准：PCI DSS - 支付卡行业数据安全标准

通过静态分析加强PCI

Pokemogo·2022-12-31 11:30

slither——区块链智能合约静态分析工具

一、概述Slither是一个用Python3编写的智能合约静态分析框架（源码），提供如下功能：自动化漏洞检测。

想躺平的小陈·2022-12-28 18:41

鉴释科技核心技术宣布开源

以Open64为基础，我们将Open64工具集的范围扩展到静态分析领域和新的基于RISC-V的处理器。我们是坚定不移的开源拥护者，因为它确保

CSDN云计算·2022-12-27 18:34

静态应用安全测试（SAST）软件的价值

而静态应用安全测试（staticapplicationsecuritytesting,SAST）软件就应该是为开发人员量身定制，来满足日常工作的需求。

Parasoft中国·2022-12-27 14:52

详解安全测试工具：SAST、DAST、IAST、SCA的异同

目录安全测试的重要性安全测试方法AST工具SCA工具到底用哪种工具？随着DevOps的发展，企业应用迭代的速度得到了大幅提升。但同时，安全如果不能跟上步伐，不仅会抵消DevOps变革带来的提升，拖慢企业数字化转型进程，还会导致漏洞与风险不约而至。2012年，Gartner提出了DevSecOps的理念，将安全防护流程有机地融入传统的DevOps流程中，为研发安全提供强有力保证，安全工具是支撑研发阶

GitMore·2022-12-27 14:52

DAST、SAST、IAST ——Web应用安全测试技术对比

一、什么是Web应用安全测试技术？为了发现软件的漏洞和缺陷，确保Web应用程序在交付之前和交付之后都是安全的，就需要利用Web应用安全测试技术识别Web应用程序中架构的薄弱点和漏洞，并且必须赶在网络黑客找到和利用它们之前。Web应用安全测试技术经过多年的发展，目前业界常用的技术主要分为3大类别。DAST：动态应用程序安全测试（DynamicApplicationSecurityTesting）技术

安歌_belinda·2022-12-27 14:51

SAST在SDL研发阶段代码安全中的作用——从泄露事件看安全

安全是一个持续的过程，忽视软件代码自身的安全性，仅依靠外围的防护、问题产生后的修补等方法，恐怕只会造成更多的安全泄露或系统受损，起到的效果也是舍本逐末、事半倍功。前言前几天，黑客团伙LAPSUS$与芯片行业大佬（英伟达NVIDIA）一番较量后，该公司高达1TB的机密文件遭泄露，包含40系显卡及后续产品计划、禁止挖矿限制、DLSS源代码...LAPSUS$并不是突然出现的黑客组织，他们曾于去年12月

欧拉定理公式·2022-12-27 14:48

Coverity 代码静态安全扫描工具：认识Coverity

【摘要】Coverity是一款快速、准确且高度可扩展的静态分析(SAST)解决方案，可帮助开发和安全团队在软件开发生命周期(SDLC)的早期解决安全和质量缺陷，跟踪和管理整个应用组合的风险，并确保符合安全和编码标准

bulabula2022·2022-12-27 14:45

GitLab SAST：如何将Klocwork与GitLab一起使用

GitLabSAST是GitLab和Klocwork的结合，GitLab是一种覆盖了整个DevOps生命周期的集成解决方案，Klocwork是一个静态代码分析和应用安全静态测试(SAST)工具。

Trinitytec·2022-12-27 14:44

安全工具箱必备技术之静态分析安全测试(SAST)

有几种技术可以识别软件和系统的漏洞，聪明的组织把它们放在他们的“安全工具箱”中，并使用各种测试工具的组合，包括：静态分析安全测试(SAST)动态分析安全测试(DAST)源成分分析（SCA）漏洞扫描器渗透测试通过自动化工具提高安全性的动机是将软件开发生命周期

Pokemogo·2022-12-27 14:14

如何为 SAST 工具设置误报基准？

许多SAST工具都无法避免误报的问题。这些工具经常报告一些实际不存在的漏洞，这种不准确性让安全团队耗费大量时间来对误报进行分类和处理，这时设置误报基准就显得十分必要。

SEAL安全·2022-12-27 14:14

信息安全编码标准:使用SAST实施安全编码实践

信息安全编码标准:使用SAST实施安全编码实践当开发团队使用信息安全编码标准来开发软件时，通常希望更少的安全Bug和更好的代码质量，从而给用户带来健壮性更好的产品。

Parasoft中国·2022-12-27 14:10

linux下二进制可执行文件分析

二常用二进制文件静态分析命令2.1file基本信息查看linux下有个最常用的通用命令，来分析任何文件的基本格式，那就是file,来看下：可以看到基本信息，比如是什么类型文件，只是

mseaspring·2022-12-24 21:06

【论文分享】Automated Vulnerability Detection in Source Code Using Deep Representation Learning

并且用三个静态分析工具（clang、flawfinder、cppcheck）做了一个打标签的数据集。基于这个数

破落之实·2022-12-24 17:44

PyQt5+PaddleOCR+SAST检测算法

最近一直在搞OCR识别，主要用的是PaddleOCR框架，但是PaddleOCR的部署只有DB接口，虽然后来我们也写了SAST的接口，但是还是有点问题，所以打算先用PyQt做个界面先展示一波。

Mrs.Q粉红猫·2022-12-24 13:54

PWN——[第五空间2019 决赛]PWN5

实际上，IDA是个十分强大的工具，可以通过IDA静态分析出位置实战buf长100字节，位于esp+20双击buf进入栈视图发现写入的数据处于栈的第10位再去查看要写入的数据双击进入bss段，发现要写入的数据是

有头发的琦玉·2022-12-23 15:34

SpringBoot改动后0.03秒启动

SpringBoot改动后0.03秒启动一、概述GraalVM是一种高性能运行时，可显着提高应用程序性能和效率，非常适合微服务.对于Java程序GraalVM负责将Java字节码编译成机器码，映像生成过程使用静态分析来查找可从主

我是刘奇奇·2022-12-23 08:00

【异常检测】恶意软件检测：MaMaDroid （DNSS 2017）

文章用的是纯静态分析的方法.

chad_lee·2022-12-19 16:26

Slither自动化测试智能合约并进行分类存储

Slither是一个用Python3编写的Solidity静态分析框架。它运行一套漏洞检测器，打印有关智能合约细节的可视化信息，并提供一个API来轻松编写自定义分析。

白日梦我Deja_Vu·2022-12-19 14:05

PYInfer: Deep Learning Semantic Type Inference for Python Variables Python类型推断

由于很难去收集高质量的人工标定的数据集，采用已有的静态分析工具对源码中的变量生产groundtruth.将类型推断作为一个分类问题，PyInfer能

马小雨·2022-12-18 18:39

TypeScript 联合类型(union type)

TS是JS的超集，在JS的基础上添加了一套类型系统，这样的TS可以被静态分析带来的好处显而易见。letval:string='val';声明一个string类型的变量val。

葡萄糖o_o·2022-12-18 14:49

MATLAB R2022 最新中英文版数据处理

将MATLAB函数发布为Docker容器微服务MATLAB生产服务器–将自定义请求URL映射到已部署的MATLAB函数、提供静态内容以及自定义请求标头PolyspaceAccess–识别编码缺陷，查看静态分析结果

科研小行星·2022-12-15 21:55

前端精准测试实践

显然以上的策略都不是最优策略，本文叙述了通过对前端代码进行静态分析，找到改动文件影响的功能范围，从实现了一种前端精准测试的思路。如何进行精准分析前端对外可直接感知的就

·2022-12-14 18:36

android ctf 分析,Android逆向笔记 - ZCTF2016题解

这是2016年zctf的一道Android题目，样本和本文用到的部分工具在文章末尾可以下载0x01第一部分静态分析安装运行apk，需要输入用户名和密码，用户名为zctf，用jeb工具反编译文件结构如下：

weixin_39590635·2022-12-08 02:49

Log4j2安全漏洞引起的思考

想发现这个安全漏洞其实并不难，使用常规的挖洞工具、SAST（静态应用安全测试）工具、S

manok·2022-12-07 10:03

《PC-lint安装及配置》

目录1PC-lint总体介绍2安装配置2.1安装2.2配置1PC-lint总体介绍PC-Lint/FlexeLintforC/C++是GIMPELSOFTWARE公司的产品，是C/C++软件代码静态分析工具

Hancy-49·2022-12-07 00:57

C++汇总

C++需要不断提升安装Ubuntu后的软件推荐-简书静态代码分析工具（一）—ScitoolsUnderstand_Davidysw的博客-CSDN博客_understand静态分析extern与头文件(

牛仔很忙^·2022-12-05 23:20

用Hopper修改代理软件端口

而搞懂底层逻辑，从过程角度来说，主要分：静态分析：不运行程序的前提下，利用工具和手段，搞懂程序逻辑动态调试：运行程序

北极象·2022-12-05 11:31

SySeVR: A Framework for Using Deep Learning to Detect Software Vulnerabilities（翻译）

基于源代码的静态分析是检测漏洞的很重要方法包括基于代码相似性：主要检测代码克隆引起的漏洞和基于模式的方法：人类专家定义特

qq_38217427·2022-12-01 08:36

Qt 6.2 中 QML 工具有哪些新功能？

在这里，我们将展示静态分析和格式化QML领域的进展和未来计划。

不如温暖过生活·2022-11-30 09:42

Python概率-电网-线性和非线性方程和数据分析工程应用(更新2022.9.4)

目录Python(有限差分法和杜普特假设)数值解非承压畜水层和堰底和板桩下稳定渗流Python(普赖斯曼方法解偏微分方程和运动波方程-圣维南流动方程)求棱形流道表面流体Python电网静态和准静态分析及自动化优化

亚图跨际·2022-11-29 10:59

【代码审计-PHP】审计方法、敏感函数、功能点

目录一、软件分析二、手动分析方法一：静态分析方法二：动态分析一、软件分析seay自动代码审计数据库监控脚本二、手动分析方法一：静态分析第一步：危险函数第二步：函数的判断语句分析第三步：函数值的传递过程第四步

黑色地带(崛起)·2022-11-26 19:26

pytorch 交叉验证_SAST Weekly | 让Pytorch变得更简单

SASTWeekly是由电子工程系学生科协推出的科技系列推送，内容涵盖信息领域技术科普、研究前沿热点介绍、科技新闻跟进探索等多个方面，帮助同学们增长姿势，开拓眼界，每周更新，欢迎关注！欢迎愿意分享知识的同学投稿至[email protected],期待你的作品！相信已经有不少同学接触过Pytorch了(媒认课上还见到了九字班的同学)，作为目前最流行的深度学习框架之一，Pytor

weixin_39669761·2022-11-26 12:24

OCR 模型记录

文章目录OCR算法检测类1.DBNet特征融合模型输出处理DBNet的二值化处理损失函数标签生成2.SAST模型介绍方法介绍代码标注3.PGNet模型介绍识别模型1.CTC(1).CRNN编码器介绍OCR

华灯初上~(unique)·2022-11-25 19:50

iOS逆向之分析工具的安装和使用

一、逆向App总体思路UI分析：Cycript、Reveal；代码分析：代码在Mach-O文件，所以要对Mach-O文件进行静态分析；MachOView、class-dump、HopperDisassember

╰つ栺尖篴夢ゞ·2022-11-24 06:43

基于AI的恶意软件分类技术（4）

关于恶意软件被加壳时，基于静态分析特征的机器学习分类器的限制的一篇论文NDSS2020顶会论文：WhenMalwareisPackin’Heat;LimitsofMachineLearningClassifiersBasedonStaticAnalysisFeatures

猫疼玩AI·2022-11-22 05:46

IoT设备安全综述

目录前言背景IoT架构设备组成攻击面硬件层软件层协议接口层漏洞分析、挖掘、检测和缓解漏洞分析的基础框架的研究漏洞挖掘技术研究动态分析方法静态分析方法漏洞检测研究网络扫描相似性检测漏洞缓解研究自动化生成补丁访问控制前言

她总是阴雨天·2022-11-19 06:34

def A(a: int, b: int=1) -＞ int:【python函数参数中的冒号和箭头】

**有了说明符，可以方便程序员理解函数的输入与输出（具体涉及到的工作，比如静态分析与代码重构）。

AI界扛把子·2022-11-19 03:17

【软件分析】Tai-e实验代码理解与踩坑记录

软件分析实验Tai-e代码理解与踩坑记录A1A2A3A4实现类层次结构分析（CHA）实现过程间常量传播实现过程间Worklist求解器静态分析实验太阿地址同学优质的课程专属博客A1每个SetFact包括了一个

Lapsey·2022-11-17 21:52

云音乐iOS端代码静态检测实践

此时有必要借助代码静态分析能力，提升项目可持续发展所需要的自动化水平。针对C、Objective-C主流的静态分析开源项目包括：ClangStaticAnalyzer、Infer、OCLint等。

·2022-11-16 22:33

golang静态代码检查_关于Golang的代码审查和质量评估

代码质量一直是每个研发团队关心的问题，提高代码质量一般会从测试驱动开发(TDD)，验收测试驱动开发(ATDD)，持续集成(CI)，代码审查，静态分析工具，编码标准等多个方面入手，在此我想说说代码审查以及静态分析工具和编码标准

weixin_39760857·2022-11-14 18:05

HackTheBox Space 写入x32shellcode Pwn题目

题目网址：https://app.hackthebox.com/challenges/space解压密码为hackthebox静态分析checksecspace这个程序什么防护都没开，从上到下依次是32

Ba1_Ma0·2022-11-11 20:33

常见面试题：Tree-Shaking 实现原理

一、什么是TreeShakingTree-Shaking是一种基于ESModule规范的DeadCodeElimination技术，它会在运行过程中静态分析模块之间的导入导出，确定ESM模块中哪些导出值未曾其它模块使用

frontend_frank·2022-11-11 14:35

推荐频道

SAST静态分析