一张图片了解软件缺陷检查涉及的内容

　　摘要：软件安全检查极具挑战性。当前的主要理论和技术研究在欧洲和美国完成。希望更多的软件开发人员可以在该领域进行投资，并为国内静态软件分析做出贡献。

　　他的妻子经常说：“我每天都在深夜，我不知道你在做什么！”

　　或者总是由朋友说：“我不知道您在说什么，并创建一个您无法理解的博客！”

　　或者总是由老板说：“如果您不说话，请不要说！”。

　　目前，无数内容在脑海中闪烁，数千个序幕，我不知道从哪里开始。

　　当我终于再次获得批准时，电灯闪烁着，可以像这样吗？

　　我在地铁的家中构思了几天。在晚上讲故事后，我得到了初稿。我可以理解吗？

　　软件是按特定顺序组织以完成设置功能的计算机数据的集合。软件已集成到我们生活的各个方面，例如计算数据，购物，约会，导航，游戏，游戏，订购，付款等。我们很熟悉。在设计软件设计师之后，程序员是由程序员通过某些编程语言编写的。

　　人们总是犯错误。有客观的原因和主观原因。客观原因是设计和开发人员缺乏对软件安全性的认识。在设计和开发过程中，安全问题不了解。在目前，设计帐户引入的安全问题超过一半已知的软件缺陷；另一部分是由程序员在开发过程中介绍的。因此，该软件的安全需要从设计阶段开始，并加强设计和开发人员的软件安全培训。同时，在软件写作阶段，可能通过静态检查工具检测出现的潜在安全问题。这也是当前流行的说法“安全的左行动”，而不是等到测试阶段之前的安全检查。还有一小部分程序员缺乏职业道德或个人专心的人员，这是在写作期间直接写的过程。我们通常被称为“后门”。在某些情况下，这些后门将出于不当目的，例如戒指，监视和勒索。对于此类软件缺陷，主要是通过加强对程序员职业道德的培训来避免这种缺陷。

　　这些无意的和故意的软件缺陷在使用过程中是无意或有意的，并成为已知的漏洞。该程序中也有许多未知的漏洞。公客经常使用嗅探方法（近似遍历）找到这些已知漏洞，然后使用这些漏洞，然后使用这些方法，然后使用这些方法，然后使用这些方法。逐步入侵计算机系统以获得控制的漏洞。

　　为了减少脆弱性造成的伤害，将在国家一级建立脆弱性管理组织，以用于统一释放漏洞。

　　每个报告的缺陷称为“常见漏洞披露”（常见的漏洞和暴露（CVE）），该数字按年度编号。例如，CVE的CVE数量是CVE-2014-0160.it可以使用网络传输协议漏洞来窃取加密信息，例如帐号和密码。

　　为了促进缺陷的管理，有一个“常见的弱点（CWE））具有“常见的缺陷枚举”。由于缺陷描述的差异而避免歧义。

　　每个缺陷造成的危害都是不同的。为了评估缺陷的危害程度，已经执行了“常见脆弱性系统（CVSS））。漏洞的最终得分为10，最小值为0。

　　在软件开发过程中，需要支付哪些高风险安全问题？还是应该检查工具以防止这些安全问题？

　　CWE组织将根据危害的数量和程度，在过去一年的缺陷库（NVD）中对漏洞进行评分，以获取需要预防的25个软件缺陷，并将其放入CWE版本中以进行操作。

　　打开社区“ Web应用程序安全项目（Open Web应用程序安全项目（OWASP））”，每3 - 4年还计算Web应用程序中的10个软件缺陷。此信息还将包含在CWE的新版本的CWE中。

　　软件漏洞将对组织的经济或声誉造成极大的损害。因此，在软件开发过程中，编码规范通常用于提醒和限制程序员的开发过程，以确保降低程序中的安全风险。

　　这些规格可以根据来源大致分为以下类型，并使用：

　　卡内基·梅隆大学（Carnegie Mellon University）软件工程学院（SEI）的证书系是网络安全领域的领导者和政府，工业，执法部门和学术界的合作伙伴。证书部门的目标是改善安全性和弹性计算机系统和网络。CERT专家开发了高级方法和技术来应对大型复杂的网络威胁，并与M国安全局密切合作，以建立数据收集和采矿，统计和趋势分析，计算机和网络安全，事件管理，内部威胁，内部威胁研究目标（例如软件保证）。它们发布了C，C ++和Java的编码规范，这些规范几乎已成为行业编码规范的主要参考基础或重要部分。

　　软件应用程序的各种行业还根据行业的特征发布了自己的行业编码规范。

　　每个国家还为安全代码实施了许多编码标准或出版物。

　　5.4.1。国家标准5.4.2。在国家标准技术研究所（NIST）发布的标准系列文档中，计算机相关的标准主要放置在SP500和SP800中（SP是特殊出版物的缩写）。尽管如此，NIST SP并未作为正式的法规标准在实际工作中，它已被美国和国际安全界广泛认可，并已成为重要的标准。

　　NIST SP 500-268源代码安全分析工具功能规范版本1.1：软件安全分析工具功能规范的描述；

　　NIST SP 500-326 SATE V报告：十年的静态分析工具说明：静态分析工具会议，重点关注静态分析工具的评估方法。

　　SP800发布的一系列信息安全指南已成为指导美国信息安全管理的主要标准和参考材料。它们为美国联邦机构提供基准和框架，并且是《联邦信息安全管理法》（FISMA）的重要组成部分。遵守。

　　NIST SP800-51使用漏洞命名方案的指南：描述通用缺陷（CVE）缺陷的命名方案的使用；

　　NIST 800-207零信任体系结构：描述零值框架；

　　NIST SP800-218安全软件开发框架（SSDF）版本1.1：减轻软件漏洞风险的建议：描述软件开发框架用于防止供应链攻击。

　　5.4.3。在软件缺陷检查工具上方的各种安全规范无法通过手动检查和审查以检查和查看代码。在软件发布之前，完成这些缺陷的检测和修复以降低软件的潜在安全风险。因此，因此，静态检查工具在软件安全性中起着非常重要的作用。

　　本文分享了华为云社区的诚意，作者：叔叔。