《软件安全开发之痛》360代码卫士 韩建_第1页
《软件安全开发之痛》360代码卫士 韩建_第2页
《软件安全开发之痛》360代码卫士 韩建_第3页
《软件安全开发之痛》360代码卫士 韩建_第4页
《软件安全开发之痛》360代码卫士 韩建_第5页
已阅读5页,还剩85页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

复杂程度复杂程度提高,安全缺陷增多我们使出我们使出洪荒之力,依然没有安全感关注功能,忽略安全需关注功能,忽略安全需求需求评审缺少安需求评审缺少安全的介入认证问题认证问题授授权问题依依赖客户端检测关关键数据保护措施会话管会话管理第第三方组件安全问题设计缺陷导致的漏设计缺陷导致的漏洞:明文存储密码thatmaybereusedthatmaybereused////thisbugwasfoundinjetty-6.1.3BoundedThreadPoolprivateprivatefinalStringlock="LOCK";publicpublicvoiddoSomething(){synchronized(lock){//...}}}}MoreMore……部部署不当导致的漏洞:默认口令pAAEGIS、微软的SDL、敏捷SDL、McGrawAAEGIS、微软的SDL、敏捷SDL、McGraw、SAMM等BSIMM、史的每个关键点嵌入安全要素。的的等软件安全开发等软件安全开发模型先后出现。全开发标准。2323发体系构建基基于企业目前的开发管理现状,制定合适的目标,不断演进、完善。554CA•••CA•••••维检测测33流程管理44●●55安全培训面面向软件开发中的各种角色(架构师、产品经理、开发工程师、测试工程师等)Gartner采访了来自11个国家的547位公司负责人,在被调查的公司当中AspectGartner采访了来自11个国家的547位公司负责人,在被调查的公司当中AspectSecurity和Sonatype公开的一份调查报告显示,最受欢迎的31个超过一半采用了开源软件作为超过一半采用了开源软件作为其中,其不安全的版本被下载了超过4,600万次。22014OpenSSL年瀑光重大安全漏洞Heartbleed。攻击者通过构造异常的数据包进行攻击,获取用户敏感信息。行攻击,获取用户敏感信息。20142014年和2015年ElasticSearch分别爆出远程任意命令执行漏洞。攻击者可利用远近年来近年来Struts2频繁爆发安全漏洞。影响国内电商、银行、运营商等诸多大型网站数众多的政府网站。注:开源项目检测计划使用的检测工具是自主研发的源代码检测引擎0“”。注:开源项目检测计划使用的检测工具是自主研发的源代码检测引擎0“”。开源项目检测计划(开源项目检测计划()是由360代码卫士团队发起,针对开源项目进行的进行的一项公益安全检测计划,旨在让广大开发者关注和了解开

人人文库> 全部分类> 行业资料 > 信息产业

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论