-
創提部落格
希望我們能與您分享和探討成長中的點點滴滴
-
什麼是誤報?如何識別誤報和漏報
不管開發人員技能多麼精通,誤報和漏報總是會發生,很可能是他們的程式碼有某種無意的錯誤或漏洞。為了確保儘早發現這些編碼錯誤和漏洞,開發人員通常使用程式碼靜態分析 工具,工具會根據開發人員設置的規則檢查程式碼。然而,程式碼靜態分析工具並不完美,工具有時也會出現誤報和漏報。這些編碼錯誤如果沒有被捕獲,可能會對程式碼產生顯著的影響。因此,我們將闡釋什麼是誤報,概述誤報和漏報的區別,並提供一個誤報示例和和一個漏報示例。
2022/05/17
-
如何在Perforce靜態程式碼分析工具中生成合規報告
確保和驗證您的程式碼庫符合特定的編碼標準或行業規範可能是一個既困難又耗時的過程。然而,通過使用諸如Helix QAC和Klocwork之類的靜態程式碼分析工具,您可以生成一份合規報告,以查看您的程式碼庫是否合規。
2022/05/09
-
什麼是CVE?常見漏洞和暴露列表概述
常見漏洞和暴露(Common Vulnerability and Exposures,簡稱CVE)收集了已知的網路安全性漏洞和暴露,以幫助您更好地保護您的嵌入式軟體。在這裡,我們會闡釋什麼是CVE,CVE清單中包括哪些內容,以及它如何説明確保您的軟體是安全的。
2022/04/27
-
安全編碼實踐:什麼是安全編碼標準?
安全編碼實踐和安全編碼標準至關重要,因為高達90%的軟體安全問題是由編碼錯誤引起的。在這裡,我們將闡釋什麼是安全編碼標準,哪些是您應該執行的安全編碼實踐,以及如何實施安全標準。
2022/04/18
-
汽車安全不可避免的數位化轉型
編寫好的軟體很難,確保軟體安全就更難了。它需要專業知識(即對常見程式設計缺陷和規範的認識),檢查輸入尺寸,管理記憶體分配和解除配置,處理字串格式化,避免野指針等等,不勝枚舉。通常情況下,編寫安全的程式碼與開發人員編寫“流暢”的程式碼、專注於正確處理業務邏輯,而不是保護所編寫的每一行程式碼的自然願望是相反的。
2022/04/07
-
上下文感知分析:對最重要的漏洞進行優先順序排序
產品安全團隊如何才能確切地瞭解他們的軟體中有什麼,哪些漏洞與他們的產品安全相關,以及如何對他們的工作進行優先順序排序?更好地理解產品元件運行的上下文,以及特定漏洞可能應用於它們的方式,是任何產品安全團隊需要做的事情。重要的是,您要瞭解您所選擇使用的產品相關的所有資訊。同樣關鍵的是,要瞭解若不執行將產品的整個上下文考慮在內的全量分析會產生的影響。
2022/03/28
-
Docker容器使用指南:如何將Klocwork作為一個容器創建和運行
在這個Docker容器使用指南中,您將學習如何創建和運行Klocwork容器。 Docker的基本定義:一種流行的開源作業系統級虛擬化(通常稱為“容器化”)技術,它是羽量級的,可移植的,主要在Linux和Windows上運行。Docker讓使用容器創建、部署和運行應用程式變得更容易。
2022/03/21
-
如何將Klocwork與Incredibuild一起使用來提高DevOps生產效率
DevOps組織不斷地尋找方法來提高DevOps的生產效率,加快其上市時間。如果沒有合適的集成工具,這將相當具有挑戰性。通過將Incredibuild和Klocwork相結合,您將可以很輕鬆地應對DevOps和DevSecOps的挑戰。這兩個解決方案可以無縫地集成到您的軟體發展生命週期(SDLC)工具鏈中,以對任何規模的程式碼庫提供可操作的回饋,並確保高開發速度。
2022/03/07
-
安全最佳實踐+Klocwork
在部署任何基於web的應用程式時,必須遵循安全最佳實踐。這裡,我們概述了設置Klocwork(一個靜態程式碼分析和應用安全靜態測試的工具(SAST))的步驟,以實現安全操作。這個過程通常是部署在本地的,並且是在防火牆之後。我們也應該採取額外的預防措施,以防在互聯網上暴露任何東西。
2022/02/22
-
汽車網路安全滲透測試
有效的網路安全要求在汽車自身及其元件的生命週期中採用系統化的流程,尤其是在後期由於法律的緣由而必須證明這一有效性時,在前期確保流程的系統化就更加至關重要。本文努力為具體的誤用案例以及如何進行相應的驗證提供指導。事實證明,GBPT比傳統的驗證方案更有效率和效果。此外,工程師的心態也必須改變,除了要關注安全功能,更要關注安全設計和驗證。企業IT部門多年前就意識到採取一些隔離機制,比如將功能分佈在專屬子系統中、元件級的保護、元件間的閘道和防火牆、關鍵功能的驗證等是不夠的,以攻擊者的視角進行智慧測試同樣不可或缺。
2022/02/14