Domande con tag 'static-analysis'

2
risposte

Quale applicabilità deve risolvere il problema di stallo?

Stavo leggendo un blog di infosec di recente, e sono stato colto alla sprovvista da la seguente dichiarazione: Sure you can run up to date software and firewalls and that network appliance in your data center that apparently solves the ha...
posta 13.02.2013 - 21:49
4
risposte

Approccio alla revisione del codice statico

Le mie domande sono correlate all'approccio di analisi del codice statico utilizzato da Veracode vs Fortify / AppScan. Veracode: trova i difetti di sicurezza nei binari e nel bytecode dell'applicazione senza richiedere l'origine Fortifica...
posta 14.05.2014 - 04:42
1
risposta

Come faccio a sapere se un carattere è dannoso?

Ci sono casi di caratteri usati per sfruttare vulnerabilità {per esempio: ThreatPost , SecureList e F-Secure}. La mia domanda è se tu abbia mai messo le mani su un font del genere, come fai a sapere che è dannoso?     
posta 01.09.2013 - 23:51
1
risposta

è possibile insegnare a Veracode ad accettare le mitigazioni che non riconosce ancora

Il veracode ( link ) ha alcune librerie di codifica dei parametri che considera affidabili. Altri sono etichettati come difetti. Se sono soddisfatto di un altro metodo di codifica dei parametri che serve a fermare XSS, posso dire a Veracode di s...
posta 04.12.2013 - 00:15
0
risposte

AngularJS Static Analysis Tools [closed]

Sto creando un'iniziativa di sicurezza del software presso una piccola azienda di software. Parte di questo è la selezione di uno strumento di analisi statica per il rilevamento anticipato e automatico delle vulnerabilità della sicurezza. Mol...
posta 13.02.2014 - 04:07
3
risposte

Caricamento sicuro di un file pickle?

Nella nostra app Python, stiamo usando pickle.load per caricare un file chiamato perceptron.pkl . Una scansione statica HP Fortify solleva un'elevata vulnerabilità, "Valutazione del codice dinamico - Deserializzazione sottosterzo non si...
posta 18.04.2018 - 10:14
2
risposte

Bug di sicurezza nel codice Scala

Attualmente sto leggendo "Sicurezza del software: Build Security In" di Gary McGraw, e lui fa la distinzione tra bug di sicurezza e difetti di sicurezza. I bug di sicurezza sono errori di implementazione nel codice e difetti sono più sul lato ar...
posta 12.06.2015 - 21:33
1
risposta

Come gestire il codice vulnerabile di terze parti?

Recentemente abbiamo effettuato un'analisi statica delle nostre applicazioni e ci sono pochi risultati critici per un codice di terze parti, ad esempio nell'interfaccia utente jquery e swagger. Quali sono le migliori pratiche di sicurezza in...
posta 07.02.2017 - 11:36
0
risposte

Analisi di Taint in un linguaggio funzionale

Recentemente ho letto un articolo intitolato "Tutto ciò che avreste sempre voluto sapere sull'analisi dinamica degli errori e sull'esecuzione simbolica avanzata (ma potrebbe aver paura di chiedere)" del Dr. EJ Schwartz. Nel documento, ha parlato...
posta 07.11.2016 - 15:04
5
risposte

Perché le aziende non utilizzano semplicemente gli strumenti degli hacker per trovare le proprie vulnerabilità prima del rilascio del loro software? [chiuso]

Potrebbe essere una domanda sciocca, ma gli hacker utilizzano strumenti disponibili pubblicamente per trovare le vulnerabilità. Quindi perché le aziende, prima di rilasciare i loro prodotti (Windows, Adobe ecc.), Usano gli stessi strumenti per t...
posta 07.04.2015 - 11:10