Preguntas con etiqueta 'static-analysis'

7
respuestas

¿Es necesario ser un buen programador para realizar un análisis seguro del código fuente?

Una persona tiene un buen conocimiento de los riesgos generales de seguridad, sabe cuáles son las vulnerabilidades principales de OWASP y tiene certificaciones como CEH, CISSP, OSCP, etc., que son más pruebas de caja negra. Y también ha revisado...
hecha 24.11.2015 - 19:14
9
respuestas

¿Qué debe incluir un informe de auditoría de seguridad?

Background Estoy a cargo de auditar una aplicación web de mediana escala. He auditado aplicaciones web varias veces antes, pero siempre he escrito un breve PDF explicando rápidamente lo que encontré y, por lo general, soy el que va a corregir...
hecha 24.01.2013 - 17:02
4
respuestas

Criterios para evaluar herramientas de análisis estático

Al igual que con cualquier herramienta, la compra de parte del resultado está en lo buenos que son los criterios de evaluación, por lo que es importante entender los criterios que las personas pueden usar al evaluar las herramientas de análisis...
hecha 20.09.2011 - 13:50
1
respuesta

¿Lista de métodos en iOS que han quedado en desuso por razones de seguridad?

¿Alguien en las redes realiza un seguimiento de los métodos de iOS que Apple ha desaprobado por razones de seguridad? He buscado por todas partes pero sin suerte. Pasar por todos los métodos en desuso y determinar cuáles tienen implicaciones...
hecha 13.03.2013 - 00:17
2
respuestas

¿Qué aplicabilidad debe tener el problema de detener la información?

Hace poco estuve leyendo un blog infosec y me sorprendió la guardia. la siguiente declaración:    Claro que puede ejecutar software y firewalls actualizados y ese dispositivo de red en su centro de datos que aparentemente resuelve el proble...
hecha 13.02.2013 - 21:49
4
respuestas

Enfoque de revisión de código estático

Mis preguntas están relacionadas con el enfoque de análisis de código estático utilizado por Veracode vs Fortify / AppScan. Veracode: encuentra fallas de seguridad en los binarios de las aplicaciones y en el bytecode sin necesidad de fuente....
hecha 14.05.2014 - 04:42
1
respuesta

¿Cómo puedo saber si una fuente es maliciosa?

Hay casos de fuentes que se utilizan para explotar vulnerabilidades {por ejemplo: ThreatPost , F-Secure }. Mi pregunta es si alguna vez tienes las manos en una fuente de este tipo, ¿cómo sabes que es malicioso?     
hecha 01.09.2013 - 23:51
1
respuesta

se le puede enseñar a Veracode a aceptar mitigaciones que aún no reconoce

Veracode ( enlace ) tiene ciertas bibliotecas de codificación de parámetros en las que confía. Otros están etiquetados como defectos. Si estoy satisfecho con otro método de codificación de parámetros destinado a detener XSS, ¿puedo decirle a Ver...
hecha 04.12.2013 - 00:15
0
respuestas

Herramientas de análisis estático de AngularJS [cerrado]

Estoy configurando una iniciativa de seguridad de software en una pequeña empresa de software. Parte de esto es seleccionar una herramienta de análisis estático para la detección temprana y automatizada de vulnerabilidades de seguridad. Mucho...
hecha 13.02.2014 - 04:07
3
respuestas

¿Cargar de forma segura un archivo pickle?

En nuestra aplicación de Python, estamos usando pickle.load para cargar un archivo llamado perceptron.pkl . Un análisis estático de HP Fortify genera una gran vulnerabilidad, "Evaluación de código dinámico - Deserialización de salmu...
hecha 18.04.2018 - 10:14