使用场景有以下几种:为开发人员提供安全编码规范、规划以及建议,提前避免不安全的编码方式、提高源代码的安全性。二、源代码安全现状评测
利用数据流分析引擎、语义分析引擎、控制流分析引擎等技术,采用专业的源代码安全审计工具,对源代码的安全问题进行分析和检测验证,对源代码安全漏洞进行定级,协助开发管理人员统计以及分析当前阶段软件安全</em
浏览 389提问于2021-03-16
1回答
我设计了自己的轻量级密码算法,现在测量它的安全性。我在寻找线性攻击和微分攻击的概率界限。对于微分特性,我得到了25轮\le 2^{-125}的概率。块长度为64位,密钥长度为96或128位。我应该增加子弹的数量,还是这个安全限制足够了?
浏览 0提问于2021-05-17得票数 0
我试图写一份安全意见,这可能会影响未来企业级网络的政策,我致力于保护在网络上使用Skype的安全风险。我一直试图从安全的角度来寻找Skype的最新分析,但我找不到更多的最新分析(我发现的比2011年更早)。有没有人能联系到我最近对Skype安全的分析,或者帮助概述Skype的安全风险,从而使安全观点更加完整?
(安全研究简报、白皮书等通常是我要找的)
浏览 0提问于2012-07-09得票数 5
回答已采纳
2回答
然而,在网上搜索,却找不到很多关于iOS6安全分析工具的信息。
有人能告诉我iOS6的安全分析(静态代码分析和笔测试)工具吗?
浏览 0提问于2012-11-04得票数 2
1回答
我正在研究jwt python库的安全性分析。我想分析一下这些库是如何工作的,以及它们在开发中是如何使用的。不是源代码。此外,我还必须检查jwt库以防止已知的攻击,例如:RS256到HS256密钥混淆攻击不正确的加密和签名组合相同的收件人/交叉JWT混淆您希望在jwt python库的安全分析中看到什么?我试图搜索使用这些库来分析</em
浏览 0提问于2021-12-02得票数 2
回答已采纳
3回答
我知道其他密码管理器有一些重大的安全问题,包括XSS和CSRF (见下文)。Dashlane密码管理器易受这些问题的影响吗?有没有人对它做过独立的安全分析,看看它有哪些共同的问题?例如,以下发表的研究论文分析了五个流行的密码管理器(LastPass、RoboForm、My1login、Passwordbox和NeedMyPassword)的安全性,并在其中四个中发现了安全漏洞:皇帝的新密码管理器:基于的密码管理器的安全性分析。然而,那篇论文并没有<em
浏览 0提问于2014-12-09得票数 13
回答已采纳
我开始阅读一些UC框架文件,我猜它类似于基于仿真的安全性分析。我能理解UC的主要优点是帮助我们分析可组合的协议。但我想知道UC的主要限制是什么?我注意到,将基于模拟的安全性(或基于游戏的安全性)转换为UC安全性是非常重要的。但是,是否存在编译器将表单模拟安全转换为UC安全?
浏览 0提问于2019-05-20得票数 1
2回答
我正在研究代码安全性,我正在尝试对以下两个片段进行安全性分析,摘自“编写安全代码”,第二版:
我的问题是,由于可能的竞争条件,分析程序也认为pFile = fopen(argv[1], "r");是不安全的,但我看不到在这段代码中可以利用这
浏览 0提问于2011-06-19得票数 2
我已经在Org级别的安全命令中心标准下启用了安全健康分析;但是,仍然提示我在漏洞页面上启用它。我多次尝试启用/禁用安全健康分析,但仍然遇到相同的提示。
还有其他人面临过类似的问题吗?
浏览 5提问于2021-01-09得票数 0
回答已采纳
2回答
但接下来:我很好奇是否对CryptDB进行了正式的安全分析。在整个网络上,它只是被赞扬,没有任何表面上任何彻底的分析。顺便提一句:如果没有,我想提一下,但我对安全性分析还不熟悉,所以:是否有一份好的参考文件来对某些密码实现进行安全分析?
浏览 0提问于2012-11-06得票数 5
回答已采纳
谷歌最近更新了其游戏控制台数据安全表单。它需要填写由应用程序收集和共享的数据。是否需要在数据安全表单中声明由防火墙或crashlytics收集的数据?我的应用程序没有在最提示的文件中声明这样的权限。我们还应该因为Firebase分析而声明它吗?火库是否匿名收集分析和分析?
我的应用程序不需要任何许可,并使用防火墙库进行分析和推送通知。我应该填写什
浏览 1提问于2021-10-29得票数 34
1回答
CFB是在哪里定义的?
、、、、
我可以找到描述使用循环流化床模式创建一个MAC,甚至实现,但找不到任何标准或文件分析其安全界限。在哪里可以找到对其安全范围的分析?
浏览 0提问于2015-08-29得票数 7
回答已采纳
我想分析一下我的Python命令行应用程序是否存在已知的安全漏洞(最好使用用Python编写的工具,为Ubuntu、Mac、Windows 10提供免费的Python跨平台)。现在,我正在使用静态分析器土匪,它基于抽象语法树执行分析。我认识另一个静态分析器pyt,它分析抽象语法树,生成控制流图并对其进行分析。然而,据我所知,它应该是与特定于web框架的适配器一起运行的。有人知道其他Python安全漏洞分析工具吗?
浏览 0提问于2018-10-23得票数 1
回答已采纳
1回答
我们在使用JSP、JSF、ASP等构建的传统web应用程序上运行几次安全扫描,我们知道要扫描它们的安全漏洞(我们使用McAfee安全PCI Compliance扫描)。我们如何应用安全扫描?“静态代码分析”在某种程度上等同于传统的安全扫描工具,还是根本不是?
浏览 20提问于2021-05-13得票数 0
1回答
我想对我们的代码进行广泛的静态分析,所以选择了FindBugs作为Sonar概要文件。然而,我也希望有一个很好的安全分析,我可以看到在SonarQube中有一个名为Findbug安全审计的配置文件。有什么方法可以让我不用创建自定义配置文件就可以同时使用它们来分析我们的代码呢?
谢谢
浏览 2提问于2016-07-12得票数 2
我们使用sonarqube社区版本,虽然它对静态代码分析很有用,但在安全性分析方面我看不出有什么意义。它确实标记了安全漏洞,并为OWASP前10和SANS前25位提供了安全报告。我想知道这是否是一些静态应用程序安全测试的一部分,还是我们需要使用开发人员/企业版来实现完整的端到端SAST。请澄清。
浏览 3提问于2021-02-09得票数 0
静态代码分析(也称为源代码分析)通常作为代码评审(也称为白盒测试)的一部分执行,并在安全开发生命周期(SDL)的实现阶段执行。https://owasp.org/www-community/controls/Static_代码_分析
浏览 0提问于2020-04-13得票数 -1
安全风险分析有什么好的开源软件吗?
例如,类似于在http://www.security-risk-analysis.com/introduction.htm上解释的内容:
浏览 0提问于2012-06-14得票数 0
回答已采纳
云服务器
ICP备案
对象存储
腾讯会议
云直播
腾讯云开发者
