1、代码代码安全体系建设实践安全体系建设实践FunplusFunplus趣加游戏安全架构趣加游戏安全架构师师汤青松汤青松分享背景信息安全的防御遵从木桶原理,在业界受到一致认可,保障整个应用的安全,不由某一维度是否做的足够好来衡量。安全质量不在于开发人员的编码能力高低,也不在于安全人员单独的技术能力,而在于整个体系的意识、技术、监督、学习等多维度。安全安全培训培训案例就地取材0303小组培训0202首次基础培训0101首次基础培训万事开头难,对于安全培训首次可以分享的三个点:1、分享自己审计的流程2、介绍安全漏洞的分类3、分享代码自查的方法小组培训要想让开发人员诚心接受你的安全开发培训,你尽可能保障
2、培训人数在10人以下,否则很难形成互动局面,分享中要注意:1、贴近所在团队的真实代码2、贴近所在团队的业务场景3、多分享故事形成互动气氛案例就地取材分享的漏洞案例尽可能贴近所在团队,平时可以从以下场景中积累:1、代码审计2、安全测试3、安全事件风险实时提醒风险实时提醒信息泄露提醒0303风险函数提醒0202风险提醒作用0101git钩子使用0404风险提醒作用开发者接受安全培训后,可以在git仓库中部署钩子来检测代码安全性,并指出提交的代码安全问题,这么做的意义有三点:1、加强安全意识2、从源头阻挡风险3、提升安全反馈速度风险函数提醒函数作用assert使用用户输入调用assert相当于eva
3、l,需要确保参数不被用户所控制。eval将字符串作为PHP代码执行exec执行系统命令ftpFTP明文下载文件mcrypt加密库preg_replace正则替换,如果使用/e模式,可能会存在命令执行问题信息泄露提醒函数作用phpinfo显示PHP环境信息pprofgolang的调试信息db.Rawgolang知悉SQL语句ioutil.ReadFilegolang读取文件内容os.StartProcessgolangos.StartProcess执行命令git钩子使用钩子检测的原理是在git服务器接收push数据时候执行一个事件,事件调用semgrep进行正则匹配,然后将风险返回,具体实现参考地址:https:/ SCACheckMax代码卫士SemGrepCodeQlkunlun-M批量代码审计实现目前几款产品针对单个代码库支持比较好,对于多项目支持并不是太好,甲方工作其实比较关注多项目,因此我开发了一套批量代码审计工具,支持按照漏洞筛选https:/
1、下载报告失败解决办法 2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。 3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。 4、本站报告下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
王书魁-小米 AIoT 安全体系建设实践(41页).pdf
汤青松-办公网零信任安全实践(41页).pdf
腾讯 SaaS安全体系落地实践.pdf
基于企业业务发展的数据安全体系建设实践-王涛(20页).pptx
蒋鹏-医院安全体系建设和思考.pdf
电子政务安全体系建设思考及建议.pdf
新常态下政企安全体系建设的思考.pdf
腾讯安全:2021车联网数据安全体系建设指南(38页).pdf
专场14.1-货拉拉大数据安全体系建设实践和思考-王海华.pdf
中国信通院:金融云安全体系建设与实践研究报告(2022年)(44页).pdf
三个皮匠报告专业的行业报告下载站,每日更新,欢迎大家关注!
copyright@2008-2013 长沙景略智创信息技术有限公司版权所有 网站备案/许可证号:湘B2-20190120
专属顾问
机构入驻、侵权投诉、商务合作
三个皮匠报告官方公众号
验证即登录,未注册将自动创建三个皮匠报告账号
使用 微信 扫一扫登陆