想了解更多安全资讯
请扫码关注中科天齐软件安全中心微信公众号
2024
02-22
中科天齐成功研发人工智能模型安全性测试系统
随着人工智能的应用和发展,人工智能在安全测试中发挥着巨大作用,例如自动化测试、智能漏洞检测、挖掘深度漏洞等,而且在软件开发中也得到很好的应用。然而,人工智能模型同样面临着诸如对抗性攻击(如对抗样本、对抗性操作)、隐私泄露、数据偏见、模型解释性不足、未经授权的访问和篡改、以及恶意使用等安全性问题。中科天齐针对人工智能模型安全性问题进行深入研究,近期成功获得人工智能模型安全性测试系统软件著作,这也意味着,在软件安全领域中科天齐不断对技术和产品进行更新迭代,同当前关键技术保持协同创新发展。中科天齐已有的产品软件源代码安全缺陷检测平台(WuKong)在政府、金融、科技、软件研发、工业互联网等多个行业领域得到很好的应用。WuKong为一款国产化自主研发工具,拥有多项专利软著,并具有很好的国产化适配能力,兼容麒麟、鲲鹏等多种国产化环境。WuKong采用自主专利技术的程序分析引擎,多种创新性的静态分析技术,结合深度学习和人工智能等多种方法,能够对软件代码缺陷进行全方位的安全扫描和安全分析。可检测运行时缺陷、安全漏洞及编码标准规范,可应用于软件生命周期的各个阶段,包括:开发人员编码阶段、代码集成阶段、系统发布阶段和系统上线之后。支持C、C++、C#、JAVA、Python、PHP、JSP、JavaScript、HTML、Go、XML 等主流程序开发语言。支持国家推荐标准 GB/T 34943、 GB/T 34944、GB/T 34946、国军标 GJB 8114-2013、5369,行业标准 SJT 11682、SJT 11683,国际规范CWE Top25、OWASP Top10等,可根据需求进行定制化处理。 可直接整合到客户的开发流程中,与客户的代码管理仓库,缺陷管理系统进行对接,在不增加研发成本的前提下帮助开发人员降低交付不安全代码的风险。
2024
01-29
为什么 OWASP API 安全Top 10 对企业很重要
API 在当今的数字生态系统中无处不在,连接着不同的系统、应用程序和数据。它们实现无缝集成和数据交换的能力彻底改变了企业的运营方式。从启用移动应用程序功能到促进云服务和物联网部署,API 在创建互联、敏捷和响应迅速的业务环境方面发挥着重要作用。随着组织内 API 数量的增加,管理它们的复杂性也在增加。每个 API 都可能成为网络攻击者的潜在切入点,在这种情况下,了解 API 的使用及其对业务和安全的影响不仅仅是一项技术要求,也是一项战略性业务需求。OWASP API 安全TOP 10 (2023 版)2023 年发布的 OWASP API 安全Top 10 名单是识别和减轻 API 紧迫安全风险的关键参考。对象级别授权失效:此风险涉及如何控制用户对对象的访问的问题,可能导致未经授权的数据泄露或更改。身份验证失效:不正确实施的身份验证机制可能允许攻击者破坏令牌或利用缺陷来冒充其他用户的身份。对象属性级别授权失效:此类别突出显示对象属性级别缺少授权或验证不当,这可能导致未经授权的信息泄露或操纵。不受限制的资源消耗:这里的重点是满足 API 请求所需的资源。管理不善的资源分配可能导致拒绝服务或增加运营成本。功能级别授权中断:这涉及访问控制策略中的缺陷,可能允许攻击者访问其他用户的资源或管理功能。不受限制地访问敏感业务流:此风险指向通过 API 暴露业务流程,如果滥用,可能会在运营或财务上损害业务。服务器端请求伪造 (SSRF):当 API 在未正确验证用户提供的 URI 的情况下提取远程资源时,会发生此缺陷,这可能会导致意外和有害的请求。安全配置错误:这包括 API 和支持系统中的各种潜在错误配置,这些错误配置可能会为各种类型的攻击打开大门。存量资产管理不当:API 的正确文档和库存至关重要,因为它们暴露了大量的端点。管理不当可能会导致被利用已弃用的 API 版本等问题。不安全地使用 API:此风险解决了在没有足够安全措施的情况下信任来自第三方 API 的数据的趋势,使这些集成服务成为攻击者的目标。API 漏洞对业务的影响OWASP API 安全Top 10中发现的漏洞不仅对企业的技术完整性构成风险,还对其运营、财务和声誉方面构成威胁。这些漏洞对业务的影响是多方面的,包括:直接经济损失业务中断损害客户信任和数据隐私声誉受损合规和监管风险增加知识产权盗窃API 已成为网络犯罪分子的首要目标之一,Salt Security 最近的一项调查显示,94%的企业在去年的生产api中遇到了安全问题。实施 OWASP 准则实践考虑到API的关键作用和威胁的演变性质,采用最佳实践来减轻OWASP API安全前10名中确定的漏洞至关重要:定期进行安全审计和评估,以监控和评估 API 的漏洞。强大的身份验证和授权控制,以确保在每个级别(包括对象和功能级别)进行正确访问。资源和速率限制,以防止滥用和缓解拒绝服务攻击。持续监控和记录,以及时检测和响应安全事件。对开发人员进行API安全最佳实践方面的教育和培训。API 清单管理,用于识别和停用过时或不必要的 API。API 安全网关和管理工具,用于提供额外的安全层,例如加密、威胁检测和策略实施。第三方 API 安全评估,以确保遵守安全标准并识别漏洞。
2024
01-24
中科天齐SAST产品WuKong(悟空)通过CWE国际认证
中科天齐的静态代码安全测试工具WuKong(悟空)获得了国际权威机构的专业认可,顺利通过CWE国际兼容性认证。加上此前获得国内的CNNVD(国家信息安全漏洞库)兼容认证,WuKong工具已成为国内国际双认证的领先产品。CWE(Common Weakness Enumeration,通用缺陷枚举),由美国国土安全局下的US-CERT(美国计算机应急管理中心)资助,在全世界极具知名度和权威性的软件安全漏洞模式库。目前,CWE已经成为安全工具的衡量标准,同时也是缺陷识别、缓解和预防工作的基准。世界知名安全软件产品在此组织进行认证,以表明该工具能够支持CWE所描述的主要缺陷模式的检测和分析。同时,“CWE兼容”也作为产品的重要等级标志被用户和管理人员所认可。中科天齐的WuKong(悟空)作为一款国产信创静态代码分析工具,采用自主专利技术的程序分析引擎,多种创新性的静态分析技术,结合深度学习和人工智能等多种方法,准确发掘深层次安全漏洞,通过先进的程序切片技术提高测试效率,结合分布式系统运行时日志信息指导安全测试,有效检测到云计算分布式系统中大量未知错误。WuKong(悟空)支持多种开发语言的安全缺陷检测,兼容麒麟、鲲鹏等多种国产化环境,帮助用户提升抵御网络攻击、防止数据泄露等安全问题的能力。 此次通过CWE兼容认证,是WuKong(悟空)静态代码安全测试工具在能力、有效性等各方面获得的一次有力证明。未来,WuKong将继续发挥其专业、高效的问题解决能力,为各领域的用户提供更灵活、优质、完整的网络安全解决方案。
2024
01-16
中科天齐荣获“国家”“中关村”高新技术企业双项认定
北京中科天齐信息技术有限公司在经过企业申报、提交申报材料、专家评审、认定报备、公示公告等一系列程序的严格审核后,荣获“国家高新技术企业”和“中关村高新技术企业”认定,实现了双高新认定。国家高新技术企业高新技术企业是发展高新技术产业的重要基础,是调整产业结构、提高国家竞争力的生力军,在我国经济发展中占有十分重要的战略地位,一直受到各级政府的高度重视、鼓励和支持。按照规定,只有当企业研发投入占比、高新技术产品收入占比、科技人员数量、技术创新能力等核心指标满足一定条件才能获此认定。中关村高新技术企业"中关村高新技术企业"由北京中关村科技园区管理委员会审核,通过一系列严格的要求,包括企业资质、科技研发能力、技术创新能力、企业发展情况以及填报资料真实性等方面的考察,最终确定是否可以获得资质认定,是国家为支持高新企业发展,提高国家综合经济竞争力而设立。本次中科天齐获得双高新技术企业的认定,是国家对企业在科技创新上的认可和支持,同时也标志着中科天齐正式迈入高新技术企业行列。中科天齐将继续以技术为核心,以市场发展为导向,积极提升企业核心竞争力、创造力和生命力。同时更加注重知识产权、培养优秀技术人才队伍,加强科技成果转化应用能力,助推公司高质量发展,助力网络安全建设。WuKong静态代码安全测试工具 “Wukong”作为一款静态代码安全测试工具,支持多种开发语言的安全缺陷检测,兼容多种国产化环境,帮助用户提升抵御网络攻击、防止数据泄露等安全问题的能力。
2023
12-15
C语言源代码安全检测工具:保障编码安全提高代码质量
随着“安全左移”,代码质量和安全已成为组织关注的重点,通过代码安全检测工具可以在CD/CD中自动化检测代码问题,从而便于开发人员尽早修复缺陷并且避免将代码缺陷进入生产环境。代码安全检测工具原理C语言源代码安全检测工具是一种静态代码分析工具,通过对源代码进行扫描和解析,检测其中的潜在安全问题。其原理可以简述为以下几点:语法分析:工具会解析源代码,构建语法树,并检查代码是否符合C语言的语法规范。漏洞检测:工具会对源代码进行静态分析,寻找常见的漏洞类型,如缓冲区溢出、空指针解引用等,以及特定安全规则的违反情况。数据流分析:工具会跟踪代码中的数据流,分析变量的定义和使用,检测内存泄漏、未初始化变量等问题。标识符命名检查:工具会检查命名规范,避免使用含糊不清、易混淆的标识符,增加代码的可读性和维护性。代码安全检测工具有哪些特点自动化检测:可以对大规模的源代码进行扫描和检测,大大提高开发效率。静态分析:通过对源代码进行静态分析,不需要真正运行代码,可以发现潜在的安全问题。多种漏洞检测:工具能够检测多种常见的漏洞类型,包括缓冲区溢出、格式化字符串攻击、代码注入等,提高代码的安全性。定制化规则:工具支持自定义规则,根据项目的需求制定特定的安全规则,提高检测的准确性和针对性。使用源代码安全检测工具有以下的优势:提高代码的安全性:通过检测漏洞和潜在的安全缺陷,可以及时进行修复,提高代码的安全性,优势主要体现在以下几个方面:减少安全漏洞被利用的风险:通过使用C源代码安全检测工具,可以及时发现和修复潜在的安全漏洞,减少攻击者利用漏洞进行恶意攻击的风险。提高代码的质量和可维护性:通过检测代码中的命名规范、注释使用情况等,C源代码安全检测工具可以帮助开发团队遵循统一的编码规范,从而提高代码的可读性、可维护性和可扩展性。自动化检测和分析:C源代码安全检测工具能够对大规模的代码进行自动化的检测和分析,节省了开发人员手动检查代码的时间和精力。同时,通过工具提供的报告,开发人员可以快速定位和修复代码中的问题。提高开发效率:C语言源代码安全检测工具可以自动扫描代码并发现潜在问题,减少了开发过程中的问题排查和修复的时间。这有助于提高开发团队的工作效率,并加快项目的交付进度。 多平台支持:C语言源代码安全检测工具通常支持多种操作系统和开发环境,如Windows、Linux等,国产化源代码安全检测工具还支持国产化操作系统麒麟、统信等,并支持常见的集成开发环境(IDE),如Visual Studio、Eclipse等,便于开发人员在不同环境下流畅使用该工具。
2023
12-01
SAST 与 DAST有何不同?
应用程序安全测试(AST)是为了发现和修复潜在安全问题而采取的一系列工具、流程和方法的综合。AST可以帮助开发人员和安全团队识别和解决应用程序中的安全漏洞和缺陷。其中静态应用程序安全测试(SAST)和动态应用程序安全测试(DAST)是常用的安全测试方法,这两种测试分别在软件开发生命周期的不同阶段使用,并且所遵循的扫描方式也不同。静态应用程序安全测试(SAST)是一种在应用程序开发阶段或源代码阶段进行的安全测试方法。由于测试方法在软件开发生命周期的早期阶段就已实施,它通过分析源代码或编译后的代码来检查应用程序中的安全漏洞。SAST工具可以检查代码中的常见安全问题,譬如注入攻击、跨站点脚本(XSS)漏洞、敏感数据泄露等。SAST可提供静态代码分析报告,指出潜在的安全漏洞,并且静态应用程序安全测试工具支持基于 DevSecOps 的左移方法来管理安全性。静态应用安全测试的优点包括:早期漏洞检测:静态代码分析在开发过程开始时执行,测试有助于在编译应用程序代码之前检测应用程序代码中的错误。通过确保安全漏洞不会进入生产环境,SAST 工具有助于实施对安全漏洞的主动保护和缓解。实时反馈:SAST 扫描程序执行快速扫描,并可以在更短的时间内分析应用程序的整个代码库。除了对发现的缺陷提供即时反馈外,SAST 工具还可以与各种开发管道工具无缝集成。准确性:SAST 工具根据预定义的安全规则自动执行安全测试。与手动测试方法相比,这些工具可以更快、更准确地识别关键漏洞。虽然 SAST 有助于安全编码实践,但分析静态代码的好处在范围上是有限的,因为它无法识别运行时漏洞,并且不可避免的存在误报及漏报风险。与 SAST 不同,动态应用程序安全测试(DAST)是一种在应用程序运行时进行的安全测试方法。它通过模拟与应用程序交互的攻击,如发送恶意请求、注入恶意数据等,来评估应用程序的安全性。DAST工具可以检测到与应用程序相关的特定漏洞,包括跨站点脚本(XSS),跨站请求伪造(CSRF)等。DAST评估集中于应用程序暴露的安全漏洞和可能的攻击路径。由于 DAST 测试是在运行时环境中执行的,因此安全工程师还可以在新漏洞出现和发展时检测和识别这些漏洞。动态应用程序安全测试的优点包括:不受代码语言限制: DAST 测试不需要了解用于开发应用程序的编程语言。无论使用何种框架,DAST 工具都会根据输入和输出评估应用程序的行为。由于 DAST 工具与代码语言无关,因此可强制执行开发和安全团队之间的无缝协作,从而更轻松地进行安全风险管理。误报率较低: DAST 工具对应用程序环境进行端到端扫描,使安全研究人员能够检测和识别威胁应用程序安全性和功能的安全漏洞。不需要访问源代码:由于 DAST 扫描是通过应用程序前端发送恶意负载来执行的,因此企业可以利用第三方安全服务来执行测试,而无需面对应用程序代码。虽然 DAST 工具可以评估应用程序代码中的各种漏洞,但它们无法检测代码库中安全问题的确切位置。DAST 扫描也无法嗅探应用程序堆栈中未执行的部分中的漏洞。 静态应用程序安全测试和动态应用程序安全测试通常结合使用,以提供全面的应用程序安全测试覆盖。静态测试可以帮助发现开发阶段的问题,并提供关于代码安全性的静态分析。动态测试则模拟不同的攻击场景,以测试应用程序在实际运行时的抵御能力。综合使用这两种方法可以更全面地识别潜在的安全问题,并提供指导修复的建议。
2023
11-16
代码安全检测有哪些必要性
随着“安全左移”,代码检测是软件开发过程中不可或缺的一步,在开发期间发现由代码导致的安全问题修复起来更能节省时间和经济成本,同时提高系统的安全性。对于通过第三方交付的应用软件,企业通过代码安全检测报告可以及时了解进入企业系统中的软件代码是否安全。代码安全检测作用主要体现在以下几点:防止恶意攻击:恶意攻击者通过代码漏洞和恶意代码来攻击系统,可能导致数据泄露、系统崩溃等严重后果。通过代码安全检测,可以发现并修复这些潜在的安全漏洞,防止恶意攻击的发生。保护用户隐私:用户的个人信息和敏感数据是非常宝贵的资产,恶意代码可能会利用漏洞来获取这些信息。通过代码安全检测,可以确保用户的隐私得到保护,增强用户对系统的信任。遵守法律法规:在一些行业中,如金融、通信、汽车等,存在严格的法律法规要求,系统的代码必须具备一定的安全性。代码安全检测可以确保系统符合相关法律法规,避免违规操作和法律纠纷。提高系统可靠性:安全漏洞和恶意代码可能导致系统崩溃或功能失效,影响系统的可靠性和稳定性。通过代码安全检测,可以及时发现并修复这些问题,提高系统的可靠性和稳定性。降低经济损失:安全漏洞和恶意攻击可能导致系统的数据丢失、泄露,甚至造成财产损失。通过代码安全检测,可以及时发现并修复潜在风险,降低经济损失的可能性。 代码安全检测是保障系统安全、用户隐私、合规性的重要手段之一。通过代码安全检测可以发现并修复潜在的安全漏洞,提高系统的安全性和可靠性。通过检测代码安全,为确保网络安全打好基础,有效应对日益复杂的网络安全威胁。
2023
11-03
FIRST发布新的漏洞评分系统 CVSS 4.0
事件响应和安全团队论坛(FIRST)正式发布了CVSS v4.0,这是其在发布通用漏洞评分系统标准CVSS v3.0 八年后发布的新一版标准。CVSS是一个用于评估软件安全漏洞严重性的标准化框架,用于根据可利用性、对机密性的影响、完整性、可用性和所需特权的影响分配数值分数或定性表示(例如低、中、高和严重),分数越高表示更严重的漏洞。这份标准有助于优先考虑对安全威胁的响应,并提供了一种统一的方法来评估漏洞的影响,并比较不同系统和软件之间的风险。最新版本的CVSS 4.0旨在为行业和公众提供更高保真度的漏洞评估。FIRST表示:“修订后的标准为消费者提供了更细粒度的基本指标,消除了下游评分的模糊性,简化了威胁指标,提高了评估特定环境安全需求和补偿控制的有效性。”该标准的最新修订通过提供几个漏洞评估补充指标来解决前一版本中的一些缺点,例如安全性 (S)、可自动化 (A)、恢复 (R)、价值密度 (V)、漏洞响应工作 (RE) 和提供商紧迫性 (U)。“CVSS v4.0的一个关键增强功能是对OT/ICS/IoT的额外适用性,在补充和环境指标组中添加了安全指标和值。”最新版本还添加了新的命名法,包括基础指标 (CVSS-B)、基础指标 + 威胁指标 (CVSS-BT)、基础指标 + 环境指标 (CVSS-BE) 和基础指标 + 威胁指标+ 环境指标 (CVSS-BTE) 严重性等级。FIRST表示,这个想法是“强化CVSS不仅仅是基本分数的概念”,并补充说“只要显示或传达CVSS数字值,就应该使用这种命名法。“CVSS基本分数应辅以对环境的分析(环境指标)以及可能随时间变化的属性(威胁指标)。了解更多通用漏洞评分系统 4.0 版规范文档:https://www.first.org/cvss/specification-document中科天齐WuKong静态软件安全测试工具,具有自主专利技术,能够检测源代码安全漏洞、运行时缺陷和编码规则规范。支持支持C、C++、JAVA、Python、PHP、JSP、JS、HTML、Go、XML、C#等主流开发语言检测,支持标准包括国家标准GB/T34943、GB/T34944、行业标准SJ/T 11682-2017、SJ/T 11683-2017,国军标规范 GJB5369,GJB8114等和国际标准OWASP Top 10、CWE Top 25、Cert C、ISO17961。 支持国产芯片、操作系统及数据库,对鲲鹏、飞腾、龙芯、海光、人大金仓等有很好的兼容性。
2023
10-24
国产静态代码检测工具(SAST)WuKong
近年来,信息安全的重要性日益增加,在静态代码分析检测领域,由于国外相关产品出现时间早,市面上一些类似的产品大部分仍是国外产品。随着软件供应链安全问题日益突出,需要具有自主知识产权的国产化软件弥补空缺。WuKong是一款企业级静态应用安全测试软件,支持源代码跨文件、跨函数检测分析,可以发现源代码中深层次的安全漏洞。可以检测安全编码规则、运行时缺陷、安全漏洞。目前大多数客户更关注安全漏洞和运行时缺陷。作为一款拥有自主知识产权的国产化代码检测工具,WuKong对于国产化环境有着很好的适配能力,可适配国产数据库、芯片及操作系统。支持C、C++、C#、JAVA、Python、PHP、JSP、JavaScript、HTML等主流程序开发语言。支持国家推荐标准 GB/T 34943、 GB/T 34944、GB/T 34946、国军标 GJB 8114-2013、5369,行业标准 SJT 11682、SJT 11683,国际规范CWE Top25、OWASP Top10等,并且可根据需求进行定制化处理。WuKong拥有灵活的扩展能力,支持Eclipse、IDEA等插件,可以集成在开发流程中,并且与缺陷管理系统对接。针对检测结果,可以定位到缺陷发生位置,并给出修复建议。此外还提供漏洞知识库可用于学习了解相关知识。 支持定时任务代码检测,可设定检测时间、检测频率等参数。支持每日全工程分析和每日增量分析。支持两个版本之间检测结果对比。在图标中心,有项目、任务、缺陷等数据的图表分析、展示。