端玛科技启用源代码分析技术处理大数据.pptVIP

还有这？ 自动提出“假设”问句= 找到最佳的修复位置 比较这两种情况： 图形可视化修复建议的优势 展示相同安全漏洞类型和不同问题调用之间的相关性。 处理的并不是个人或者单个问题路径的发现– 事实上是整个系统。 让您得以更好地利用时间 Webgoat 220个修复位置示例 只要轻轻一点，我们就可以把220个位置缩减到16个。 结果越多，我们的解决方式就越能体现其效率 QA Any Question？ 代码安全漏洞和质量缺陷扫描云服务中心 为使用Java、JSP、JavaSript、 VBSript、C# 、ASP.net 、VB.Net、 VB6、 C/C++ 、ASP 、PHP, Ruby、Perl 、PL/SQL、 Android、OWASP ESAPI、MISRA、和Objective-C (iOS) .(AppExchange platform)、API to 3rd party languages 等多种语言开发的软件开发企业和项目提供源代码安全漏洞和质量缺陷扫描和分析，并提供结果审计 、管理 和报表生成。 应用安全服务平台框架及内容 应用安全在线eLearning培训 在线培训课程是基于世界顶级的应用安全讲师和咨询专家的丰富的安全实践和教学经验而组织，帮助开发组织快速了解和普及应用软件安全方面的知识、技能和成熟软件安全分析方法和最佳实践。以期他们在最短的时间里学习到最需要的软件安全知识，从而有效地应用到软件开发的生命周期里 应用安全开发标准指导系统 * 我们有许多代码，需要寻找其相似性和共性。 在这种情况下，我们有一个显而易见的样版，只有变量名称发生了改变。 * 右侧代码遵循模版了吗？ 没有，我们忘记去验证输入了。 * 这是一个数据流，我们可以看到每一步怎样被反映在源代码中。 * 我们可能有几十个路径。怎样才能获得更多信息？ * 我们来把它们组合一下 * 如果我修复的是这个点，哪些位置会被修复好？ * 所以，这个位置很可能更好，可以一下子修复的路径更多。 * 这个怎么样？ * 所以，通过仅仅修复代码中的三个位置，我们事实上可以修复。。。 * 这个和这个。 * * 许多软件开发组织都需要对其成员进行应用安全意识和/或安全开发最佳实践方面的培训，但问题是，他们需要面对有限的的预算和时间。我们的应用安全电子培训课程就是基于世界顶级的应用安全讲师的丰富的安全实践和教学经验而组织，帮助开发组织快速了解和普及应用软件安全方面的知识、技能和成熟软件安全分析方法和最佳实践。以期他们在最短的时间里学习到最需要的软件安全知识，从而有效地应用到软件开发的生命周期里去 * 启用源代码分析技术处理大数据 Checkmarx中国区技术专家 陈安明 陈安明介绍 端玛科技总经理，独立应用安全风险分析师，Checkmarx中国区技术专家。 是中国最早从事源代码分析技术调查和研究人员，专门从事应用软件安全风险评估、风险消除、培训、教育和软件安全生命开发周期SDL咨询。其优秀的软件安全方案、产品及专业化的软件安全开发生命周期SDL服务已进入金融银行、保险、电信、汽车、媒体娱乐、软件、服务和军事等财富1000的企业 议题概述 传统以安全为导向的源代码分析工具只能检测到黑客明显可以利用的漏洞，而且这些工具所找到的安全漏洞的数量非常多，即使这些结果是精确的，都很难在短时间修复，这样一来，我们就不得不面临两个现实问题： 一、我们如何对付那些工具没有覆盖到的代码？ 二、我们怎样才能提高安全漏洞修复的能力？ 为了应对这些挑战，我们把研究的侧重点放在了大数据分析领域，将大数据的先进技术与我们的研究整合到一起。借这次交流的机会，我想与大家分享一下我们的研究方法以及我们的成果。 源代码分析的历史 第一代源代码分析 系统安全知识是通过绑定静态的规则体现。静态规则依据原始或者标准语言的缺陷来制定的，对用户而言，技术是不可见的。 用户代码架构和框架适应能力差。几乎无法适应在开发语言基础上用户私有的架构和框架代码封装的扫描。规则主要细节不公开，用户很难自定义或者调整规则满足用户自身的系统架构和代码封装的需求。 使用依赖操作系统环境和编译器 源代码分析的历史（续） 新一代源代码分析 系统的安全知识是通过绑定静态的规则体现。静态规则依据原始或者标准语言技术架构和框架的缺陷来制定的，公开规则实现的技术和细节。 用户代码架构和框架适应能力强。适应在开发语言基础上用户私有的架构和框架代码的扫描。规则主要细节完全公开，用户很容易自定义或者调整规则满足用户自身的系统架构和代码封装的需求。 能够任意添加自己需要的有关业务逻辑和代码质量相关的查询 使用简便！虚拟编译器，无须代码编译。无需依赖操作系统环境和编译。 分析范围：SQL 注入-〉恶意后门-