想了解更多安全资讯
请扫码关注中科天齐软件安全中心微信公众号
2024
10-22
你的开源代码安全吗?中科天齐百万代码缺陷免费预约检测活动震撼来袭!
你的开源代码安全吗?中科天齐百万代码缺陷免费预约检测活动震撼来袭!
2024
09-11
SAST vs DAST:如何选择
在软件行业中,多达 38% 的 IT 和信息安全专业人员估计,他们 21% 到 40% 的代码包含漏洞,13% 的人已经在大多数 (61-80%) 代码中发现了漏洞。如何在这些缺陷和漏洞问题成为威胁之前发现它们?常见的应用程序安全测试方法:SAST 和 DAST起到很大作用。什么是 SAST(静态应用程序安全测试)?SAST(静态应用程序安全测试)是一种自动的白盒测试,用于检查应用程序代码在其静态(非运行)状态下的潜在漏洞和已知缺陷。在白盒测试中,工具可以完全访问应用程序代码。SAST 通过预定义检测规则,可以检测源代码并标记检测到的问题的位置。SAST 可以帮助识别缓冲区溢出、暴露的代码密钥、输入验证错误、不安全的基础设施配置和编码规范等问题。SAST 的主要优势在于,安全团队在代码部署之前将其作为安全 CI/CD 管道的一部分运行。理想情况下,团队在开发人员提交代码后立即执行这些操作,以确保他们在软件开发生命周期(SDLC)的早期解决安全问题。此外,团队可以在进行全面的漏洞扫描或渗透测试之前,将SAST应用于部分应用程序。什么是 DAST(动态应用程序安全测试)?DAST(动态应用程序安全测试)是一种黑盒测试(工具无法访问应用程序源代码),在应用程序运行时检查是否存在漏洞和缺陷。DAST 工具模拟对系统及其环境的攻击,分析系统的响应,并为开发人员提供有关其应用程序在面对实际攻击场景时的行为方式的见解。通常,安全团队在SDLC的后期运行DAST,传统上是在部署到测试环境之前在CI/CD管道中执行。DAST优势是识别和标记运行时漏洞,这些漏洞在应用程序代码中可能不是缺陷,但在应用程序运行时可能会变成潜在的漏洞。例如,DAST 可以帮助发现 Web 应用程序中的 XSS(跨站点脚本)和 SQL 注入缺陷,以及服务器端的错误配置和身份验证问题。DAST 对于依赖互联网协议的应用程序很有效果,因为这些通常是恶意行为者的目标。SAST与DAST:主要区别实施阶段:SAST在SDLC的前期使用,理想情况下是在每次代码提交时进行检测。DAST在将应用程序部署到测试环境并运行之后。实施前提:SAST可以直接检测源代码,不需要运行程序,但需要支持检测相关的编码语言和框架,DAST需要将程序部署并可以执行。测试方法:SAST从内向外检测代码,DAST从外部模仿攻击者进行检测。检测缺陷类型:SAST检测已知和未知漏洞,DAST检测运行中导致的漏洞。何时使用 SAST开发团队通过在 SDLC 的早期使用 SAST进行检测。在代码编译以进行测试之前,提交或预提交阶段有助于及早发现和解决与安全相关的错误和问题。将 SAST 整合到 CI/CD 管道和DevSecOps流程中,可以通过自动化进行检测来提高生产力。SAST 持续监控进入代码库的每一段代码是否存在不良编码实践,并根据OWASP Top 10、CWE TOP 25等测试一系列漏洞。使用SAST的另一种情况是涉及到数据隐私的合规性和法规要求,如支付卡行业数据安全标准 (PCI DSS),SAST 工具可用于识别代码和配置中的敏感数据,确保其得到适当保护和处理,并符合相关法规。何时使用 DAST当可执行应用程序在响应多种输入的动态环境中运行时,DAST就会发挥作用。安全团队利用DAST查明应用程序后端中影响运行时功能的错误配置,以及由集成问题引起的漏洞。此外,DAST有助于测试应用程序的API和Web服务,并评估其运行的基础设施的安全状况。由于测试需要完全运行且可执行的应用程序,因此最好在将应用程序部署到预生产测试环境后运行 DAST 。当作为 CI/CD 管道的一部分集成时,DAST 可以成为运行时应用程序和基础设施安全的全天候监控工具,保护应用程序免受 XSS 和 SQL 注入攻击。 SAST 和 DAST 并不相互排斥,而是在SDLC的不同阶段在应用程序安全测试策略中扮演两个不同的角色。在 DevSecOps 管道中使用 SAST 和 DAST 可以更全面地了解应用程序的安全状况。这些工具相互补充并解决彼此的限制,从而显著地增加了安全性测试的覆盖率,最终降低了应用程序欺诈的风险。WuKong静态代码检测工具是一款自主可控的国产化静态代码安全检测软件,获工信部首届“鼎信杯”信创产品典型应用软件奖。在研发技术上采用自主专利技术的程序分析引擎,结合深度指针分析技术检测深层次安全漏洞减少漏报,通过人工智能和机器学习方法指导代码分析和验证分析结果,提高测试准确率,使用高效程序切片技术进一步提高测试效率。可检测代码运行时缺陷、安全漏洞及编码标准规范。 
2024
08-09
什么是动态应用程序安全测试? 和静态应用程序安全测试有什么区别?
动态应用程序安全测试 (DAST) 是在运行时分析 Web 应用程序以识别安全漏洞或缺陷的过程。在 DAST 中,测试人员在应用程序运行时检查应用程序,并试图像黑客一样攻击它。DAST 工具提供有关应用响应的信息,帮助开发人员识别和消除威胁。DAST是如何工作的?DAST 是一种黑盒测试,是从应用程序外部执行的,而不查看内部源代码或应用程序架构。因此,该测试使用与黑客相同的技术来识别漏洞。DAST 可能会采用错误注入技术来发现威胁,例如跨站点脚本或结构化查询语言注入。大多数 DAST 工具仅测试支持 Web 的应用程序的公开的 HTTP 和超文本标记语言接口。但有些是专门为非 Web 协议设计的,例如远程过程调用和会话启动协议以及数据格式错误。DAST 工具在开发期间和开发后持续扫描应用程序。DAST 在扫描 Web 应用程序之前对其进行爬行,使其能够找到应用程序内页面上的每个公开输入,然后对每个输入进行测试。在应用程序执行后执行的测试是完全自动化的,企业能够在风险成为严重攻击之前及时识别和解决风险。DAST工具会在发现漏洞时自动向开发或测试团队发送警报。虽然DAST可以让安全团队及时了解web应用程序在生产中的行为方式,但公司通常会部署其他形式的安全测试,例如静态应用程序安全测试(SAST)和应用程序渗透测试。应用程序渗透测试为攻击者如何侵入特定的web应用程序提供了一个真实的演示,而SAST让开发人员在软件开发生命周期(SDLC)的早期发现应用程序源代码中的漏洞。DAST有什么好处?DAST 工具的主要好处是企业能够从黑客的角度更好地了解其 Web 应用程序的行为方式。这使企业能够通过消除弱点并在恶意攻击发生之前阻止它们来节省修复时间和金钱。还使企业能更准确地模拟黑客行为。DAST 可以分析运行时无法通过静态分析识别的问题,例如身份验证、服务器配置问题和仅在已知用户登录时可见的缺陷。此外,许多 DAST 工具与编码语言无关,并且从外部与应用程序交互。这使得 DAST 工具能够与任何编程语言和框架一起使用。DAST的局限性是什么?DAST 工具可能会产生误报。漏洞检测结果可能并非是真实的。另外,所报告的漏洞在某些场景中可能是一个真正的威胁,但可以让经验丰富的代码分析人员识别风险是否适用于企业具体情况。DAST 工具不能检测源代码,没有完整的代码覆盖率,这样无法在源代码中找到问题的确切位置。DAST通常在SDLC的后期使用,因此开发前期的安全漏洞问题需要通过SAST来进行查找。DAST 与 SASTDAST经常与SAST一起使用,这两个测试工具在软件开发安全流程中的不同领域,同时使用两种工具能进行更全面的安全评估。DAST的黑盒安全测试方法从外部进行分析,而SAST的白盒测试方法,从内部检查应用程序。SAST不像DAST那样查找运行时错误,而DAST不像SAST那样标记特定的编码错误,并且能精确到代码行。DAST涉及操作测试,而SAST查看源代码并推测安全风险的位置,或者发现可能存在潜在漏洞的设计和构造缺陷。DAST和SAST的重要性 随着 Web 应用程序使用量的增加和应用程序变得越来越复杂,网络犯罪的风险也在增加。Web应用程序安全性应该是SDLC所有阶段的优先事项。通过SAST和DAST工具的检测,能够在应用程序开发早期发现缺陷或安全漏洞并及时修复,从而保护应用程序的良好运行,避免受到外部攻击。国产化代码检测工具WuKong支持C、C++、C#、JAVA、Python、PHP、JSP、JavaScript、HTML、Go、XML 等主流程序开发语言,支持Spring、Mybatis、Hibernate等共17种框架。采用自主专利技术的程序分析引擎,多种创新性的静态分析技术,结合深度学习和人工智能等多种方法,能够对软件代码进行全方位的安全扫描和安全分析。 
2024
07-25
人工智能模型安全存隐患,中科天齐人工智能模型安全测试系统即将发布
人工智能(AI)技术在如今的社会中发挥着越来越重要的作用,涵盖了从自动驾驶汽车到医疗诊断的各个领域。神经网络算法作为其中的核心技术之一,被广泛应用于图像识别、自然语言处理、智能推荐等领域。然而,正是因为其复杂性和高度非线性的特点,神经网络算法本身也存在着一些安全漏洞问题,这些安全问题可能导致数据泄露、隐私侵犯、系统瘫痪等严重后果,对个人、组织甚至整个社会都构成潜在威胁。首先,对抗性攻击是神经网络算法面临的一个主要安全问题。对抗性攻击是指故意设计具有微小扰动的输入数据,以使神经网络产生错误的输出。这种攻击可能导致图像分类错误、语音识别失效等严重后果。神经网络算法对输入数据的微小变化非常敏感,这使得它们容易受到对抗性攻击的影响。为了增强神经网络算法的鲁棒性,研究人员提出了对抗性训练、对抗性样本生成等技术,以使神经网络能够更好地抵御对抗性攻击。其次,隐私问题也是神经网络算法面临的重要安全漏洞。在训练和部署神经网络模型时,通常需要大量的数据,其中可能包含个人身份信息、健康记录等敏感数据。如果这些数据未经妥善保护,可能会导致用户隐私泄露、身份盗窃等问题。第三个安全漏洞问题是模型解释性。许多神经网络模型被认为是黑盒模型,难以解释其决策过程。这种缺乏解释性不仅使用户难以理解模型的工作原理,也可能导致模型做出不可预测的决策。为了提高神经网络模型的解释性,研究人员提出了局部解释性模型、特征重要性分析等技术,以帮助用户理解模型的决策过程,并确保模型的决策符合逻辑和规范。另一个重要的安全漏洞问题是过拟合。神经网络算法在训练过程中可能会过度拟合训练数据,导致模型在未见数据上的泛化能力下降。这可能导致模型在实际应用中表现不稳定,产生错误的预测结果。为了解决过拟合问题,研究人员提出了正则化、数据增强等方法,以提高神经网络模型的泛化能力,使其能够更好地适应新的数据。最后,神经网络算法还可能受到恶意操纵的影响。恶意攻击者可能通过有意修改训练数据或操纵模型输出来达到其目的,例如欺诈、信息篡改等。这种行为可能对金融、电子商务等领域造成严重影响。为了防止恶意操纵,研究人员提出了模型鲁棒性验证、安全增强学习等方法,以确保神经网络模型的安全性和可靠性。人工智能技术的迅猛发展和广泛应用正在深刻地改变着各行各业,但同时人工智能模型存在的安全隐患也为数字产业带来了安全方面的挑战。为了应对这些挑战,中科天齐通过对神经网络鲁棒性边界检测、神经网络形式化分析及神经网络鲁棒性度量评估三个方面进行研究,即将推出人工智能模型(神经网络算法)安全性测试评估系统——“智信”,通过建立相应的测试和评估机制,对模型的性能、鲁棒性和安全性进行全面检验,提高人工智能模型的准确性与稳定性。中科天齐人工智能模型(神经网络算法)安全性测试评估系统“智信”可分为三大测试工具,其中包括3大工作模块及多个步骤,通过不同模块之间协同工作,人工智能模型(神经网络算法)测试能够更加全面地评估算法的性能、鲁棒性和可靠性,为神经网络的进一步优化和改进提供有力支持。通过提高人工智能模型(神经网络算法)安全性,我们可以更好地应对人工智能模型的漏洞问题,推动人工智能技术朝着更加安全、透明和可持续的方向发展。 让人工智能技术更加安全、可靠地促进数字产业发展是我们共同的愿景,欢迎持续关注中科天齐人工智能模型(神经网络算法)安全性测试评估系统。
2024
06-26
AISecOps:扩展 DevSecOps 以保护 AI 和 ML
从传统的软件开发到集成人工智能(AI)和机器学习(ML)的演变可以说是革命性的。随着人工智能的不断普及,人工智能技术对企业乃至我们的日常生活变得越来越重要,根据ISC2的研究,人工智能最有可能接管用户行为模式的分析(81%)、重复性任务的自动化(75%)、网络流量和恶意软件的监控(71%)、薄弱环节的预测(62%)以及检测和阻止威胁(62%)。随着人工智能的广泛使用,其带来安全问题的复杂性、真实性和数量可能会大幅度提高。一个令人担忧的趋势是,网络攻击者以代码和图像存储库为目标,旨在向软件供应链注入恶意软件。这种策略不仅损害了软件的完整性,而且对依赖这些应用程序进行关键操作的最终用户和组织构成了重大风险。数据中毒的威胁对人工智能模型的完整性提出了险恶的挑战。通过将恶意修改的代码和数据引入训练集,攻击者可以操纵人工智能系统的行为,导致长期影响,因为有毒数据持续存在于机器学习模型中。这种阴险的攻击形式凸显了保持警惕和强大的安全措施在保护推动人工智能和机器学习创新的数据方面的重要性。在开发安全中,通过DevSecOps实践更有力的创建安全软件。这些方法是解决人工智能和机器学习安全所面临的熟悉挑战的宝贵经验。在过去五年多的时间里,DevSecOps 已成为我们开发和保护软件的主要方式,通过软件和安全团队之间的协作,以及将改进的安全实践嵌入到开发过程的每个阶段。这种集成方法帮助我们提高了软件产品的安全性,并提高了安全和软件工程师之间的安全可见性。DevSecOps 的原则和成功案例同样可以指导 AI 和 ML 模型的安全开发和部署。AI和ML模型不断学习和进化,AISecOps将DevSecOps原则应用于AI/ML和生成式AI,意味着将安全性集成到这些模型的生命周期中——从设计、培训到部署和监控。持续的安全实践,如实时漏洞扫描和自动威胁检测、数据和模型存储库的安全检测和保护措施,对于防范不断发展的威胁至关重要。DevSecOps的核心原则之一是培养开发、安全和运营团队之间的协作文化。这种多学科方法在AISecOps的背景下更为重要,因为开发人员、数据科学家、人工智能研究人员和网络安全专业人员需要共同努力识别和减轻风险。协作和开放的沟通可以加速漏洞的识别和修复。数据是 AI 和 ML 模型的命脉。确保用于训练和推理的数据的完整性和机密性至关重要。DevSecOps 强调了安全数据处理实践(如加密、访问控制和匿名化技术)对于保护敏感信息和防止数据中毒攻击的重要性。在AI和ML开发一开始就将安全考虑进去,符合对道德人工智能的日益重视,确保模型不仅安全,而且公平、透明和负责任。在设计阶段纳入安全和道德准则有助于在人工智能系统中建立信任和弹性。人工智能和机器学习技术带来的安全挑战很复杂,但对我们来说并不陌生。通过将DevSecOps的安全经验应用到AISecOps中,我们可以通过提高人工智能和人工智能数据安全可见性的方法来应对这些挑战,并强调持续安全、协作、安全数据实践和设计安全性。 我们的未来是人工智能驱动的,网络安全和人工智能专业人员需要齐心协力,为这些变革性技术奠定基础。我们要释放人工智能和机器学习的全部潜力,同时确保所有利益相关者的安全、隐私和信任。
2024
06-20
什么是 DevSecOps,为什么它对安全软件交付至关重要?
如果仅在软件交付生命周期结束时(在部署服务之前或之后)运行安全扫描,则随后的编译和修复漏洞的过程会成为高效开发的一大阻碍。此外,随着应用程序越来越多地使用开源开源软件(OSS)组件和其他第三方构件构建,每一个组件都可能给应用程序带来新的漏洞。下面是一组数据:超过80%的软件漏洞是通过开源软件(OSS)和第三方组件引入的;数字供应链攻击正变得越来越激进、复杂和多样化。到2025年,45%的组织将至少经历一次。(Gartner)到2026年,全球软件供应链网络攻击给企业造成的总成本将超过806亿美元,高于2023年的458亿美元(Juniper Research)这种日益加剧的威胁环境,加上要求更快地进行开发和迭代,组织越来越多开始在整个软件开发生命周期中集成安全性,也就是DevSecOps。一个有效的DevSecOps计划是一项巨大的工程。它需要跨多个职能部门进行重大的文化变革,以推动共享责任、协作、透明度和有效沟通。它还需要正确的工具、技术,以及自动化和人工智能的使用,以确保应用程序的发展速度。如果实施得当,DevSecOps 将成为交付安全软件的重要成功因素。什么是 DevSecOps?DevSecOps 是开发、安全和运营的缩写,是一种软件开发方法,它在整个软件开发生命周期中集成了安全实践。它强调开发团队、安全团队和运营团队之间的协作和沟通,以确保将安全性内置到软件开发过程的每个阶段。在软件开发管道的背景下,DevSecOps的目标是“将安全向左转移”,它涉及到从一开始就将安全实践和工具集成到开发管道中。通过这样做,安全性成为软件开发过程中不可或缺的一部分,而不是后期的附加组件。这种方法使组织更容易在早期识别和解决安全漏洞,并满足监管义务。同样值得注意的是,DevSecOps是建立在协作和分担责任的文化基础上的。它打破了孤岛,并鼓励跨职能团队一起工作,以实现以高速构建更安全的应用程序的共同目标。交付安全软件的指导原则构建和运行一个有效的DevSecOps计划意味着组织能够运行一个安全的交付平台,测试软件漏洞,优先考虑和修复漏洞,防止发布不安全的代码,并确保软件及其所有工件的完整性。下面是实现成功的DevSecOps实践所需的元素和能力的详细描述。建立协作文化,将安全作为共同责任DevSecOps 的核心是一种责任共担的文化,以共同面向安全的思维方式运营决定了 DevSecOps 流程的适应程度,并在选择 DevOps 平台、工具和单个安全解决方案时可以推动更好的决策。思维方式不会在一夜之间改变,但可以通过以下方式实现一致性和安全感:致力于定期进行内部安全培训(针对 DevSecOps)量身定制,包括开发人员、DevOps 工程师和安全工程师。技能差距和需求不应被低估。开发人员采用安全编码方法和资源安全工程有助于应用程序和环境架构、设计审查。在软件开发生命周期的早期识别和修复安全问题总是更容易。打破职能孤岛并持续协作由于 DevSecOps 是软件开发、IT 运营和安全融合的结果,因此打破孤岛并持续积极协作对于成功至关重要。通常,在没有任何正式 DevSecOps 框架的情况下运营的以 DevOps 为中心的组织将安全性一种阻碍。推动协作并作为一个有凝聚力的 DevSecOps 团队运营涉及:定义并商定一组可测量的安全目标,例如修复的平均时间和减少CVE警报噪声的百分比。软件开发人员和DevOps团队参与新安全工具的整个评估和采购流程确保没有 DevSecOps 进程有一个单一的功能负责人迭代优化工具选择和安全实践,以提高开发人员的工作效率和速度将安全左移实现左移安全性是保护应用程序代码在开发管道中移动的关键步骤。这种方法涉及在软件开发生命周期的早期集成安全实践,从编码的初始阶段开始,并扩展到整个开发和部署过程。通过将安全测试进一步左移,组织可以在早期阶段识别和解决漏洞,从而降低安全漏洞的风险并确保安全应用程序的交付。 要成功地转移安全性,首先要在整个开发流程中集成不同类型的安全扫描,。为了在整个软件开发生命周期中捕捉和修复漏洞,DevSecOps团队需要采用和使用几类应用程序安全性测试,如静态应用程序安全检测工具、开源组件检测工具、动态应用程序安全检测工具等。每种类型的安全扫描仪所采用的技术都是互补的。结合起来,它们在应用程序进入生产环境之前就可以有效发现已知的安全问题。
2024
05-20
网络安全攻击者如何使用人工智能?
世界正变得越来越数字化,人工智能 (AI) 等创新技术进步正在以惊人的速度发展。然而,随着技术的进步,网络攻击者的策略也在进步。人工智能与恶意网络活动的结合引发了一系列新的复杂网络威胁,个人和企业都需要警惕。网络犯罪分子如何利用人工智能来扩大其网络攻击的规模和效率?可以采取哪些措施来保护自己?机器学习算法机器学习算法可以经过训练来搜索大量数据,识别趋势和预测模式,这对许多企业和行业都大有裨益。然而,在犯罪分子手中,这种能力可用于识别网络、应用程序或系统中的漏洞,使攻击者能够使用人工智能驱动的算法发起高度针对性和自适应性攻击。就像企业可以使用这种技术全天候运行,并获得有关其性能、维护需求和营销策略的实时洞察一样,网络攻击者也可以。这使得网络威胁更具有挑战性。从本质上讲,诈骗者可以超能力地访问自动化的自适应攻击,这些攻击可以从多个角度使用新的、更微妙和智能的策略轰炸用户。网络钓鱼网络犯罪分子一直使用网络钓鱼攻击来引诱易受攻击或毫无防备的用户泄露敏感信息或意外安装恶意软件。随着人工智能的出现,这些策略变得更加复杂和难以发现。不正确的语法和明显的拼写错误向我们大多数精通技术的人泄露欺诈性电子邮件,而生成式人工智能使诈骗者可以轻松创建流畅、专业的电子邮件。现在,人工智能驱动的系统可以分析大量数据,并利用它来创建高度个性化和令人信服的网络钓鱼电子邮件或消息,这些电子邮件或消息是根据个人的在线行为、模式和偏好量身定制的。这增加了用户相信电子邮件是真实的可能性,并点击链接或回复敏感信息。网络钓鱼邮件非常危险,因为一个错误的点击可以通过访问私人和机密信息(如客户详细信息,帐户信息或商业秘密)迅速摧毁公司。这不仅可能违反保密法,而且成功的攻击还会损害企业的声誉和诚信,更不用说如果欺骗者设法侵入账户造成经济上的影响。恶意软件恶意软件和勒索软件会洗劫计算机系统,窃取机密信息,并导致系统无法使用。利用机器学习系统,网络犯罪分子利用人工智能不断改变恶意软件的代码,从而逃避传统杀毒软件的检测。人工智能驱动的勒索软件攻击也变得越来越普遍,因为攻击者可以利用人工智能来识别高价值目标,并根据个人或公司的财务历史和状况要求恢复其计算机的金额。 投资于能够实时检测和缓解高级威胁的人工智能驱动的网络安全解决方案至关重要。优先考虑员工培训,并定期制定有关如何识别网络威胁、风险分析和有效响应协议的意识计划。
2024
03-13
静态代码安全测试工具WuKong有哪些功能
静态代码安全测试工具主要应用在软件开发阶段,用来检测源代码中是否存在安全缺陷或编码规范问题等,主要应用在以下几个方面:代码质量控制: 静态代码检测工具可以帮助开发团队在编码过程中发现潜在的代码质量问题,如代码规范性、安全漏洞、性能问题等,提高整体代码质量。安全漏洞检测: 静态代码检测工具能够检测代码中的安全漏洞,如可能导致 SQL 注入、跨站脚本攻击等问题,帮助开发团队及时修复潜在的安全风险。规范性检查: 静态代码检测工具能够根据事先设定的编码规范或最佳实践,检查代码是否符合规范,有助于保持团队的统一代码风格,提高代码的可读性和可维护性。国产静态代码安全测试工具WuKong是一款可适配国产环境的静态代码安全测试工具,拥有自主研发技术,结合深度学习和机器学习等方法,大大提高测试准确率,通过深度分析方法分析指针别名关系发掘更多深层次安全漏洞。工具采用B/S架构,界面友好易于理解和操作,支持检测多种语言代码,支持C、C++、JAVA、Python、PHP、JavaScript、HTML、JSP、XML、C#等主流开发语言。支持以多种上传方式进行检测,如zip压缩包上传,SVN/GIT形式拉取代码检测,以TFS、共享目录、FTP形式直接访问代码等。在安全漏洞及缺陷等问题上,不但可以检测缓冲区溢出、中断的数据竞争和死锁等并发错误及内存泄漏等错误在内的运行时缺陷,也可以检测SQL、XSS跨站脚本、弱密码等安全漏洞,支持跨文件跨函数的线程间共享变量数据竞争问题的检测。工具支持的检测标准包括国家标准GB/T34943、GB/T34944、国军标规范 GJB5369、8114和行业标准SJ/T 11682-2017、SJ/T 11683-2017等的检测;国际标准OWASP Top 10、CWE Top 25、Cert C、ISO17961、MISRA C2012等。工具支持国产化环境,如龙芯、鲲鹏、飞腾、申威、统信和海光等。可进行灵活自定义规则,可集成在开发流程中。对于检测结果,可以进行人工复核并进行标注,可导出不同格式的检测报告,并且可自定义检测报告内容。 静态代码安全测试工具适用领域广泛,如政府机关、金融科技、科研院所、软件研发等企业单位。当前,软件供应链安全问题突出,在开发流程中集成静态代码测试工具不但可以降低软件中的安全隐患,还能提高代码规范性和安全性,便于后期维护。
2024
02-22
中科天齐成功研发人工智能模型安全性测试系统
随着人工智能的应用和发展,人工智能在安全测试中发挥着巨大作用,例如自动化测试、智能漏洞检测、挖掘深度漏洞等,而且在软件开发中也得到很好的应用。然而,人工智能模型同样面临着诸如对抗性攻击(如对抗样本、对抗性操作)、隐私泄露、数据偏见、模型解释性不足、未经授权的访问和篡改、以及恶意使用等安全性问题。中科天齐针对人工智能模型安全性问题进行深入研究,近期成功获得人工智能模型安全性测试系统软件著作,这也意味着,在软件安全领域中科天齐不断对技术和产品进行更新迭代,同当前关键技术保持协同创新发展。中科天齐已有的产品软件源代码安全缺陷检测平台(WuKong)在政府、金融、科技、软件研发、工业互联网等多个行业领域得到很好的应用。WuKong为一款国产化自主研发工具,拥有多项专利软著,并具有很好的国产化适配能力,兼容麒麟、鲲鹏等多种国产化环境。WuKong采用自主专利技术的程序分析引擎,多种创新性的静态分析技术,结合深度学习和人工智能等多种方法,能够对软件代码缺陷进行全方位的安全扫描和安全分析。可检测运行时缺陷、安全漏洞及编码标准规范,可应用于软件生命周期的各个阶段,包括:开发人员编码阶段、代码集成阶段、系统发布阶段和系统上线之后。支持C、C++、C#、JAVA、Python、PHP、JSP、JavaScript、HTML、Go、XML 等主流程序开发语言。支持国家推荐标准 GB/T 34943、 GB/T 34944、GB/T 34946、国军标 GJB 8114-2013、5369,行业标准 SJT 11682、SJT 11683,国际规范CWE Top25、OWASP Top10等,可根据需求进行定制化处理。 可直接整合到客户的开发流程中,与客户的代码管理仓库,缺陷管理系统进行对接,在不增加研发成本的前提下帮助开发人员降低交付不安全代码的风险。