sast

安全测试与CI/CD集成！

小码哥说测试·2024-08-31 20:16

[20][04][10] Fortify Static Code Analyzer 详解

FortifyStaticCodeAnalyzer是什么2.工具介绍3.代码安全扫描实施步骤3.1清理3.2构建3.3扫描1.FortifyStaticCodeAnalyzer是什么是MicroFocus的一款代码安全扫描工具,属于SAST

安全新司机·2024-02-02 18:35

Fortify Scan - Static Code Analyzer

application-security-testing/overviewhttps://software.microfocus.com/en-us/products/static-code-analysis-sast

weixin_33717298·2024-02-02 18:05

应用安全测试技术DAST、SAST、IAST对比分析【转】

转自：https://blog.csdn.net/qq_29277155/article/details/92411079一、全球面临软件安全危机2010年，大型社交网站rockyou.com被曝存在SQL注入漏洞，黑客利用此漏洞获取到3200万用户记录（包括E-mail、姓名及明文形式的密码）。2015年，英国电话和宽带供应商TalkTalk被一名15岁的黑客利用SQL注入漏洞进行攻击，四百万T

dengyou1937·2024-01-30 14:22

How to Use the Git Merge Command

Thegitmergecommandisusedtocombinechangesfromdifferentbranchesintothecurrentbranch.Itallowsyoutointegratethechangesmadeinonebranchintoanotherbranch.Thebasicsyntaxofgitmergeisasfollows:gitmergeHere’sast

yuguo.im·2023-12-30 01:58

gitlab push代码报错 commit:已失败，流水线失败， jobs:sast script不能为空字符，CI/CD YAML configuration error!

gitlabpush代码报错commit:已失败，流水线失败，jobs:sastscript不能为空字符，CI/CDYAMLconfigurationerror!报错信息如下：原因：我这里报错原因是：.gitlab-ci.yml文件引起的，删除远程仓库中管理的文件.gitlab-ci.yml后push就正常了具体删除操作，见下文https://blog.csdn.net/a704397849/ar

无、涯·2023-12-27 20:43

Parasoft：正确的静态应用程序安全测试 (SAST) 解决方案

随着软件开发从Web应用扩展到工业物联网（IIoT）设备，静态应用安全测试（SAST）越来越有必要从根本上帮助确保软件的功能安全。

Parasoft中国·2023-12-16 14:58

FindSecBugs支持的检测规则

很多SAST集成了FindSecBugs这个开源工具，其好处是直接对Class文件进行检测，也就是直接检测二进制问题，可以直接检测war、jar，还是非常方便的。

manok·2023-12-05 12:48

试用SAST工具

最近拿到库博SASTV4.3版本，看到这款工具支持MISRA系统全部标准、ISO17961标准，国军标GJB8114和5369等，采用缺失代码补偿技术，在不用编译通过情况依然达到很高的检测精度。在国外工具Checkmarx虽然也采用编译不通过情况下检测，但是却不支持C/C++语言的检测。而Coverity的C、C++语言检测能力强，但是对被检测代码要进行编译，如果编译失败或部分文件不能编译，则不能

manok·2023-11-22 07:29

认识DAST、SAST、RAST和IAST

主要市场上主要的检测技术主要是DAST、SAST、RAST和IAST，每种技术都有一定的优缺点。我们注意了解一下。

manok·2023-11-22 07:58

安全测试工具分为 SAST、DAST和IAST 您知道吗？

其实安全测试工具大致分为三类：SAST、DAST和IAST。本文就带大家快速的了解这三者的本质区别！

测试开发Kevin·2023-11-20 13:36

应用安全测试技术DAST、SAST、IAST对比分析-持续更新

应用安全测试技术DAST、SAST、IAST对比分析-持续更新版权来源：安全牛首发文章，本文仅补充完善。

HuiTest·2023-11-13 18:16

论坛回顾｜蚂蚁供应链安全建设实践

边立忠，蚂蚁集团高级安全专家，蚂蚁集团应用安全产品中台负责人，主要负责蚂蚁SCA、IAST、SAST、镜像安全扫描等供应链安全相关产品的建设和技术研究。

墨菲安全·2023-11-12 06:53

一款SAST工具需要支持多少种编译器呢？

除了Java语言，C#语言之外，C、C++语言是编译器类型最多的编程语言，有几十种编译器，这些编译器方言为研发SAST工具带来了巨大的工作量，很多产品由于无法适配客户的编译器，导致无法检测。

manok·2023-11-04 16:41

SAST静态应用安全测试工具的分析引擎小析

SAST工具最难的技术在于底层引擎的开发，根据引擎采用的技术可以分成三类：针对源代码进行检测。主要是指对于C、C++、Java、C#编译型开发语言，不需要编译，而是直接对于源代码本身进行检测。

manok·2023-11-04 16:11

SAST——Checkmarx静态检测工具收集（2）

分别对应的SAST、SCA和IAST三类应用安全测试类型工具。CheckmarxCxSAST主要功能是查找安全漏洞、质量缺陷、逻辑问题和后门代码。

manok·2023-11-04 16:10

先科sast x6盒子拆机解决散热问题

sast先科的盒子我先后用了两个,分别是基于rockchip3229的Q7和rockchip3328的X6,前者是基于arma7架构的,对新版本android兼容不太好,而3328是基于A53架构,就可以支持到最新

danscort2000·2023-11-03 22:55

代码检查过程中为什么需要涉及到编译呢？

-云社区-华为云随着大家对软件安全越来越重视，在编码阶段针对源码安全的保障也被各行各业企业研发测试运维团队与个人开发者越来越频繁的被提及，其中静态代码检查SAST工具尤为突出。

华为云PaaS服务小智·2023-10-08 14:48

使用MindStudio进行SAST_ResNet50_vd 模型在昇腾环境离线推理

一、模型介绍本文开发的模型为基于PaddlePaddle的模型库PaddleOCR中的SAST_ResNet50_vd模型。

double秀·2023-09-28 16:21

海云安谢朝海博士：安全赋能研发自治以敏捷白盒带来组织协同方式变革

SAST静态应用安全测试（以下简称“白盒测试”）由于不需要运行被测程序，具有覆盖率高、自动化程度高、可以在开发生命周

海云安·2023-09-11 10:16

海云安荣誉上榜“应用安全测试SAST”、“移动应用安全”、“代码审计服务”、“APP个人隐私保护检测”领域

近日，国内权威数字化领域第三方调研机构数世咨询正式发布《2022年度中国数字安全能力图谱》，海云安凭借领先的技术优势和市场影响力荣获专家认可，荣誉上榜“应用安全测试SAST”、“移动应用安全”、“代码审计服务

海云安·2023-09-11 10:44

代码审计-审计工具介绍-DAST+SAST+IAST项目

DAST+SAST+IAST项目介绍DAST：动态应用程序安全测试（DynamicApplicationSecurityTesting）技术在测试或运行阶段分析应用程序的动态运行状态。

xiaoheizi安全·2023-08-21 23:10

模糊测试是如何高效挖掘漏洞，精准定位问题的？

然而随着代码行的大幅增加，人工审核的方式将非常吃力，而SAST通过漏洞规则去做模式匹配，只能查找已知漏洞，误报率高，并且对复杂逻辑的代码场景以及未知缺陷无能为力。

开源网安·2023-08-18 13:32

Android日志实战——Coverity代码检查日志分析（十六）

一、Coverity概述Coverity是一款快速、准确且高度可扩展的静态分析(SAST)解决方案，可帮助开发和安全团队在软件开发生命周期(SDLC)的早期解决安全和质量缺陷，跟踪和管理整个应用组合的风险

c小旭·2023-07-18 13:53

安全左移DevSecOps开源工具链建设

静态代码安全检查（SAST）静态应用程序安全测试（StaticApplicationSecurityTesting）技术通

Zhuixi·2023-06-17 02:26

2 行代码开启 SAST，将代码漏洞定位到具体行数

如何在流水线中集成与应用SAST，实现自动化代码安全扫描？

·2023-06-16 15:55

WhiteSource SAST：下一代应用程序安全

2022年2月15日，WhiteSource宣布进入静态应用安全测试(SAST)市场。这对WhiteSource来说是一项重大的进步，到目前为止，WhiteSource一直专注于开源软件安全。

龙智DevSecOps解决方案·2023-04-17 16:58

（CCF)TF80 ：云原生安全——相关概念整合

③什么是CC攻击：④关于WAF:4.常用开源软件:①log4j：②shiro：5.什么是DAST，SAST和IAST：①什么是DAST?②什么是SAST?

Cyan_RA9·2023-03-29 04:39

两行代码助你轻松实现SAST（静态应用程序安全测试）

目录极狐GitLabDevSecOpsSAST极狐GitLabDevSecOps之SAST与极狐GitLabworkflow的结合极狐GitLabDevSecOps功能试用申请极狐GitLabDevSecOps

极小狐·2023-03-14 15:57

DevSecOps | 极狐GitLab 动态应用程序安全测试（DAST）使用指南

DAST是DynamicApplicationSecurityTesting的缩写，也即动态应用程序安全测试，属于应用程序安全测试的一种，与SAST相对应，属于黑盒测试。

极小狐·2023-03-14 15:57

SAST-静态应用安全测试

SAST，StaticApplicationSecurityTesting，即静态应用安全测试，也叫静态分析，是一种测试方法，一直是应用程序安全性工作的核心部分。

·2023-01-18 16:54

OWASP移动审计 - Android APK 恶意软件分析应用程序

MobileAudit-针对Android移动APK的SAST和恶意软件分析MobileAudit不仅关注安全测试和防御用例，该项目的目标是成为AndroidAPK的完整认证，其中包括：静态分析(SAST

晓川吖·2023-01-16 12:06

代码质量与安全 | 使用Incredibuild加速Klocwork静态代码分析

Klocwork是一款优秀的静态代码分析和SAST工具，适用于C、C++、C#、Java、JavaScript、Python和Kotlin，可识别软件安全性、质量和可靠性问题，帮助强制遵守标准。

·2023-01-13 12:31

静态应用安全测试（SAST）软件的价值

而静态应用安全测试（staticapplicationsecuritytesting,SAST）软件就应该是为开发人员量身定制，来满足日常工作的需求。

Parasoft中国·2022-12-27 14:52

详解安全测试工具：SAST、DAST、IAST、SCA的异同

目录安全测试的重要性安全测试方法AST工具SCA工具到底用哪种工具？随着DevOps的发展，企业应用迭代的速度得到了大幅提升。但同时，安全如果不能跟上步伐，不仅会抵消DevOps变革带来的提升，拖慢企业数字化转型进程，还会导致漏洞与风险不约而至。2012年，Gartner提出了DevSecOps的理念，将安全防护流程有机地融入传统的DevOps流程中，为研发安全提供强有力保证，安全工具是支撑研发阶

GitMore·2022-12-27 14:52

DAST、SAST、IAST ——Web应用安全测试技术对比

一、什么是Web应用安全测试技术？为了发现软件的漏洞和缺陷，确保Web应用程序在交付之前和交付之后都是安全的，就需要利用Web应用安全测试技术识别Web应用程序中架构的薄弱点和漏洞，并且必须赶在网络黑客找到和利用它们之前。Web应用安全测试技术经过多年的发展，目前业界常用的技术主要分为3大类别。DAST：动态应用程序安全测试（DynamicApplicationSecurityTesting）技术

安歌_belinda·2022-12-27 14:51

SAST在SDL研发阶段代码安全中的作用——从泄露事件看安全

安全是一个持续的过程，忽视软件代码自身的安全性，仅依靠外围的防护、问题产生后的修补等方法，恐怕只会造成更多的安全泄露或系统受损，起到的效果也是舍本逐末、事半倍功。前言前几天，黑客团伙LAPSUS$与芯片行业大佬（英伟达NVIDIA）一番较量后，该公司高达1TB的机密文件遭泄露，包含40系显卡及后续产品计划、禁止挖矿限制、DLSS源代码...LAPSUS$并不是突然出现的黑客组织，他们曾于去年12月

欧拉定理公式·2022-12-27 14:48

Coverity 代码静态安全扫描工具：认识Coverity

【摘要】Coverity是一款快速、准确且高度可扩展的静态分析(SAST)解决方案，可帮助开发和安全团队在软件开发生命周期(SDLC)的早期解决安全和质量缺陷，跟踪和管理整个应用组合的风险，并确保符合安全和编码标准

bulabula2022·2022-12-27 14:45

GitLab SAST：如何将Klocwork与GitLab一起使用

GitLabSAST是GitLab和Klocwork的结合，GitLab是一种覆盖了整个DevOps生命周期的集成解决方案，Klocwork是一个静态代码分析和应用安全静态测试(SAST)工具。

Trinitytec·2022-12-27 14:44

安全工具箱必备技术之静态分析安全测试(SAST)

有几种技术可以识别软件和系统的漏洞，聪明的组织把它们放在他们的“安全工具箱”中，并使用各种测试工具的组合，包括：静态分析安全测试(SAST)动态分析安全测试(DAST)源成分分析（SCA）漏洞扫描器渗透测试通过自动化工具提高安全性的动机是将软件开发生命周期

Pokemogo·2022-12-27 14:14

如何为 SAST 工具设置误报基准？

许多SAST工具都无法避免误报的问题。这些工具经常报告一些实际不存在的漏洞，这种不准确性让安全团队耗费大量时间来对误报进行分类和处理，这时设置误报基准就显得十分必要。

SEAL安全·2022-12-27 14:14

信息安全编码标准:使用SAST实施安全编码实践

信息安全编码标准:使用SAST实施安全编码实践当开发团队使用信息安全编码标准来开发软件时，通常希望更少的安全Bug和更好的代码质量，从而给用户带来健壮性更好的产品。

Parasoft中国·2022-12-27 14:10

PyQt5+PaddleOCR+SAST检测算法

最近一直在搞OCR识别，主要用的是PaddleOCR框架，但是PaddleOCR的部署只有DB接口，虽然后来我们也写了SAST的接口，但是还是有点问题，所以打算先用PyQt做个界面先展示一波。

Mrs.Q粉红猫·2022-12-24 13:54

Log4j2安全漏洞引起的思考

想发现这个安全漏洞其实并不难，使用常规的挖洞工具、SAST（静态应用安全测试）工具、S

manok·2022-12-07 10:03

pytorch 交叉验证_SAST Weekly | 让Pytorch变得更简单

SASTWeekly是由电子工程系学生科协推出的科技系列推送，内容涵盖信息领域技术科普、研究前沿热点介绍、科技新闻跟进探索等多个方面，帮助同学们增长姿势，开拓眼界，每周更新，欢迎关注！欢迎愿意分享知识的同学投稿至[email protected],期待你的作品！相信已经有不少同学接触过Pytorch了(媒认课上还见到了九字班的同学)，作为目前最流行的深度学习框架之一，Pytor

weixin_39669761·2022-11-26 12:24

OCR 模型记录

文章目录OCR算法检测类1.DBNet特征融合模型输出处理DBNet的二值化处理损失函数标签生成2.SAST模型介绍方法介绍代码标注3.PGNet模型介绍识别模型1.CTC(1).CRNN编码器介绍OCR

华灯初上~(unique)·2022-11-25 19:50

Java代码审计详解

Fortify代码审计工具1、Fortify简介Fortify是MicroFocus旗下AST（应用程序安全测试）产品，其产品组合包括：FortifyStaticCodeAnalyzer提供静态代码分析器（SAST

wespten·2022-10-30 18:15

SAST + SCA: 结合使用安全升级

本期文章，我们将会讨论SAST和SCA这两种类型的应用程序安全解决方案如何帮助企业应对不同的风险。软件世界的风险与挑战在这个依靠软件运行的世界中，企业面临一个挑战：开发好的软件很难

·2022-10-14 11:31

实操指南：如何为 SAST 工具设置误报基准？