Πώς μπορώ να βρω Ασφαλείας Αδυναμίες στην Πηγή μου κώδικα;

Το πρωτότυπο, ακόμα και η καλύτερη, η μέθοδος για την εύρεση ασφάλειας ευπάθειες στο πηγαίο κώδικα είναι να διαβάζουν και να κατανοούν τον πηγαίο κώδικα.

Πηγή κωδικό ασφαλείας ευπάθειες θα κυμαίνεται μεταξύ γλώσσες και πλατφόρμες.

Στοιχεία που να αρέσει σε C κώδικα περιλαμβάνουν:

Δυνητικός ευπάθεια Καθήκοντα ζητά να εξεταστεί για ευπάθειες
Ρυθμιστικό υπερχειλίσεις παίρνει (), scanf (), sprintf (), strcat (), strcpy ()
Format string ευπάθειες printf (), fprintf (), vprintf (), snprintf (), vsnprintf (), syslog ()
Αγώνας συνθήκες πρόσβαση (), chown (), chgrp (), chmod (), mktemp (), tempnam (), tmpfile (), tmpnam ()
Τυχαίος αριθμός απόκτηση ευπάθειες rand (), τυχαία ()
Shell metacharacter ευπάθειες Exec (), popen (), σύστημα ()


Αυτοματοποιημένη Πηγή Κωδικός Ασφαλείας Vulnerability Scanners

Υπάρχουν ευφυείς εργαλεία για να σας βοηθούν να εξετάσει μεγάλες ποσότητες του πηγαίου κώδικα για θέματα ευπάθειας ασφαλείας.

Εργαλείο Περιγραφή
Flawfinder Εξετάζει τον πηγαίο κώδικα και τις εκθέσεις δυνατή ασφάλεια ευπάθειες
RATS από Secure Software Solutions Σαρώνει C, C + +, Perl, PHP και Python πηγαίο κώδικα για θέματα ευπάθειας ασφαλείας δυναμικό.
ITS4 από Cigital Σαρώνει τον πηγαίο κώδικα που αναζητούν δυνητικά ευάλωτη λειτουργία κλήσεις και προδιαμορφωμάτων πηγαίο κώδικα ανάλυσης για τον προσδιορισμό του επιπέδου των κινδύνων
PScan Ένας περιορισμένος πρόβλημα για σαρωτή C αρχεία προέλευσης
Boon Υπέρβαση buffer ανίχνευσης
MOPS Προγράμματα για την Ασφάλεια MOdelchecking ιδιότητες
Cqual Ένα εργαλείο για την προσθήκη του είδους χαρακτηρισμούς σε C
MC Meta-Level Compilation
SLAM Microsoft
ESC/Java2 Εκτεταμένη Στατικός έλεγχος για έκδοση Java 2
Σχίζα Ασφαλής Προγραμματισμός στουπί
Μοτοποδήλατο A Model-Checker για Pushdown Systems
JCAVE JavaCard Applet Έλεγχος Περιβάλλοντος
Η Boop Toolkit Χρησιμοποιεί και βελτίωση της άντλησης για τον προσδιορισμό της reachability πρόγραμμα των σημείων σε ένα πρόγραμμα C
Blast Berkeley τεμπέλης Abstraction Software Έλεγχος Εργαλείο
Uno Απλό εργαλείο για την ανάλυση του πηγαίου κώδικα
PMD Σαρώνει Java πηγαίο κώδικα και θα εξετάζονται για πιθανά προβλήματα
C + + Test Μονάδα δοκιμών και στατική ανάλυση εργαλείο

Για περισσότερες πληροφορίες σχετικά με τον πηγαίο κώδικα σαρωτές, διαβάστε Πηγή κώδικα Σαρωτές για Καλύτερη κώδικα στο Linux Journal.

Για περισσότερες πληροφορίες σχετικά ασφαλή προγραμματισμό, διαβάστε την ασφαλή προγραμματισμού για Linux και Unix HOWTO.

Writing Secure Code Building Secure Software Ασφαλής και κωδικοποίησης των εμπορευμάτων Ασφαλής Προγραμματισμός Cookbook
Βρείτε τον πηγαίο κώδικα των τρωτών σημείων σε σας κώδικα με τη βοήθεια αυτών των βιβλίων σε ασφαλές προγραμματισμού από το Amazon.com


Top 5 Free δικτύωση Εργαλεία

Ένα θέμα ευπάθειας Διαχείρισης για Ανδρείκελα

Οι φίλοι μας στο Qualys προσφέρουν δωρεάν αντίγραφα της ηλεκτρονικής μορφής των Vulnerability Management για να Ανδρείκελα Tech-Συχνές ερωτήσεις αναγνωστών.

Ένα θέμα ευπάθειας Διαχείρισης για Ανδρείκελα:

  • Εξηγεί την ανάγκη για διαχείριση της ευπάθειας
  • Στοιχεία τα βασικά βήματα βέλτιστες πρακτικές για ένα επιτυχές πρόγραμμα διαχείρισης της ευπάθειας
  • Περιγράφει τις διάφορες λύσεις διαχείρισης της ευπάθειας - συμπεριλαμβανομένων των πλεονεκτημάτων και μειονεκτημάτων της κάθε
  • Σημαντικά γεγονότα το βραβευμένο QualysGuard ευπάθεια λύση διαχείρισης
  • Παρέχει τις δέκα το σημείο ελέγχου για την αφαίρεση από τα τρωτά σημεία σας βασικούς πόρους
Bookmark Πώς μπορώ να βρω Ασφαλείας Αδυναμίες στην Πηγή μου κώδικα;
Virus Scan
Δοκιμάστε ένα δωρεάν ιών σε Kaspersky σήμερα.
Anti Malware
Υψηλής απόδοσης λογισμικού Anti-Malware από Sunbelt Software

Τελευταίες θέσεις Blog


Αγγλικά Αγγλικά Γερμανικά Γερμανικά Ισπανικά Ισπανικά Γαλλικά Γαλλικά Ιταλικά Ιταλικά Πορτογαλικά Πορτογαλικά Ρωσικά Ρωσικά Ολλανδικά Ολλανδικά
Ελληνικά Ελληνικά Χίντι Χίντι Ιαπωνικά Ιαπωνικά Κορεατικά Κορεατικά Κινεζικά Κινεζικά Κινέζικα (απλοποιημένα) Κινέζικα (απλοποιημένα) Αραβικά Αραβικά

Copyright 2009-Tech FAQ. Με επιφύλαξη κάθε νόμιμου δικαιώματος. Πολιτική Προστασίας Προσωπικών Δεδομένων.