SAST静态分析工具所支持的规则
综合国内外SAST工具支持的规则,这些规则包括了国际标准、国内标准、行业标准等,这里我罗列了一下,这些规则对应的标准集合。 评估一款SAST工具时,支持规则集的多少,且每个规则集是否为全集,或者接近全集,表明了一款工具的检测能力,而且是否能够对这些规则进行优化,提升检出率,减少误报,漏报。
对于每一标准中的每一条不管是强制类型、还是建议类型,都至少需要被一条SAST规则所覆盖,如果工具做的简单,就是可能需要多条规则覆盖一条标准项,如果做的更专业一点,则是把需要多条规则映射到一条标准,在检测结果展示中,看到是对每一条标准的覆盖,例如像Coverity出的Misra合规性报告,则是这种映射关系。而国军标GJB 8114、GJB 5369制定后,但是却没有要求出合规性报告,所以执行层面很灵活。而CNAS的代码审计依据的标准GB/T 34943、GB/T 34944、GB/T 34946是偏安全漏洞方面,更没有合规性报告的说法,在执行层面上每家测评中心执行情况也不同,我还记得当初作为CNAS技术负责人申请CNAS测评实验室认证时采用实验室间比对方法,大家对CNAS理解上的歧义。不管大家怎么理解,作为一款工具,支持这些标准才是王者。
下面我就罗列一下。
| 标类 | 序号 | 名称 | 全集数 |
| 国际行业标准 | 1 | OWASP TOP10 2021 当前最新基于WEB应用安全的行业标准,大部分工具具备 | A1-A10,每一类通过多个CWE缺陷实现 |
| 2 | OWASP TOP10 2017 相对过时WEB应用安全行业标准,部分老旧工具具备 | A1-A10,每一类通过多个CWE缺陷实现 | |
| 3 | OWASP MOBILE TOP10 2016 面向手机终端安全行业标准,大部分工具不支持 | M1-M0,每一类通过多个CWE缺陷实现 | |
| 4 | CWE/SANS TOP25 2023 MITRA每年发布一次,25类最常见的缺陷,其中部分与WEB应用安全相关,部分是运行时缺陷。大多数工具支持部分 | 25类CWE 编号缺陷 | |
| 5 | SEI CERT Oracle Coding Standard for Java CERT Java检测集 Java语言安全漏洞编码规则,没有包括Java Android和建议条项 | 185条 | |
| 6 | SEI CERT C Coding Standard CERT C语言编码标准 | 122条 | |
| 7 | SEI CERT C++ Coding Standard CERT C++编码标准 | 82条 | |
| 国际标准 | 8 | ISO 17961-2013,Cor 1 2016 C语言安全漏洞编码规则 | 94条 |
| 国际金融行业 | 9 | PCI-DSS V4.0 ,金融支付卡行业PCIDSS)数据安全标准 6.5.1-6.5.10主要列举了10类安全漏洞,但是覆盖整个标准需要更多 | 10类 |
| 国际航空业 | 10 | 联合打击战斗机项目系统研制与验证阶段航空器C++编程规范 | 29大类223条 |
| 11 | JPL(航空业)编码标准 | 33条 | |
| 国际 汽车制造行业 | 12 | MISRA C 2004: 1st Ed 2004.10,2nd Ed with Tech Cor 1 2008.07 工业标准的C语言嵌入式可靠性编程规范 | 143条 |
| 13 | MISRA C ++ 2008: 2008.06 工业标准的C++语言嵌入式可靠性编程规范 | 175条 | |
| 14 | MISRA C 2012: 1st Ed 2013.03,Amendment 1 2016.04,Tech Cor 1 2017.06,Amendment 2 2020.02 工业标准的C语言嵌入式可靠性编程规范 | 175条 | |
| 15 | AUTOSAR C++14, 车辆制造行业标准,只对应C/C++语言 | 397条 | |
| 国家推荐标准 | 16 | GB/T 39412-2020 代码安全审计规范 | 95条 |
| 17 | GB/T 38674-2020 应用软件安全编程指南 | 22大类上百小类 | |
| 国内行业标准 | 18 | YD/T 3464-2019 联网软件安全编程规范 | |
| 19 | SJ/T 11682-2017 C/C++语言源代码缺陷控制与测试规范 | 7大类88个小类 | |
| 20 | SJ/T 11681-2017 C#语言源代码缺陷控制与测试指南 | 7大类34个小类 | |
| 21 | SJ/T 11683-2017 Java语言源代码缺陷控制与测试规范 | 7大类58个小类 | |
| 国家标准 (CNAS) | 22 | GB/T 34944-2017 Java语言源代码漏洞测试规范 | 43条 |
| 23 | GB/T 34943-2017 C/C++语言源代码漏洞测试规范 | 32条 | |
| 24 | GB/T 34946-2017 C#语言源代码漏洞测试规范 | 40条 | |
| 国家军用 强制标准 | 25 | GJB 5369-2005 国家军用标准航天型号软件C语言可靠性编程规范 | 144条 |
| 26 | GJB 8114-2013 国家军用标准C/C++语言可靠性编程规范 | 204条 |
相关文章:
SAST静态分析工具所支持的规则
综合国内外SAST工具支持的规则,这些规则包括了国际标准、国内标准、行业标准等,这里我罗列了一下,这些规则对应的标准集合。 评估一款SAST工具时,支持规则集的多少,且每个规则集是否为全集,或者接近全集&am…...
torch 的数据加载 Datasets DataLoaders
点赞收藏关注! 如需要转载,请注明出处! torch的模型加载有两种方式: Datasets & DataLoaders torch本身可以提供两数据加载函数: torch.utils.data.DataLoader()和torch.utils.data.Datase…...
【Promise】某个异步方法执行结束后 在执行下面方法
使用Promise ,当 layer.msg(查询成功) 这个方法执行结束后 ,下面代码才会执行 let thas this async function showMessage() {await new Promise(resolve > layer.msg(查询成功, resolve));// 这里的代码将在 layer.msg 执行结束后执行thas.isGuaran…...
任意文件下载漏洞(CVE-2021-44983)
简介 CVE-2021-44983是Taocms内容管理系统中的一个安全漏洞,可以追溯到版本3.0.1。该漏洞主要源于在登录后台后,文件管理栏存在任意文件下载漏洞。简言之,这个漏洞可能让攻击者通过特定的请求下载系统中的任意文件,包括但不限于敏…...
:通过source_location实现日志函数)
C++(20):通过source_location实现日志函数
C++20中引入了std::source_location,用来描述函数调用的上下文信息。 其主要的成员函数如下: line():获取行号。column():获取列号。file_name():获取文件名。function_name():获取函数域名。#include <iostream> #include <string_view> #include <sour…...
【数据结构】树与二叉树(廿二):树和森林的遍历——后根遍历(递归算法PostOrder、非递归算法NPO)
文章目录 5.1 树的基本概念5.1.1 树的定义5.1.2 森林的定义5.1.3 树的术语 5.2 二叉树5.3 树5.3.1 树的存储结构1. 理论基础2. 典型实例3. Father链接结构4. 儿子链表链接结构5. 左儿子右兄弟链接结构 5.3.2 获取结点的算法5.3.3 树和森林的遍历1. 先根遍历(递归、非…...
-安全管控之防暴露、限制访问、防DDos攻击、防爬虫、防非法引用)
精通Nginx(17)-安全管控之防暴露、限制访问、防DDos攻击、防爬虫、防非法引用
安全是每个系统都需要考虑的关键因素,Nginx在这方面提供了丰富的功能,使我们可以就实际情形做很精细调整。这些功能包括防信息暴露、客户端访问限制、通讯加密、防DDos攻击、防爬虫、防非法引用及防非法域名请求等。 目录 防信息暴露 关闭版本号 关闭目录列表 客户端访问…...
STM32 Flash
FLASH简介 Flash是常用的用于存储数据的半导体器件,它具有容量大,可重复擦写,按“扇区/块”擦除、掉电后数据可继续保存的特性。 常见的FLASH主要有NOR FLASH和NAND FLASH两种类型。NOR和NAND是两种数字门电路,可以简单地认为FL…...
文件批量重命名技巧:图片文件名太长怎么办?告别手动改名方法
在日常生活中,常常会遇到文件名过长导致的问题。尤其是在处理大量图片文件时,过长的文件名可能会使得文件管理变得混乱不堪。现在来看下云炫文件管理器如何批量重命名,让图片文件名变得更简洁,提高工作效率。 操作1、在云炫文件…...
微信小程序手写滑动tab
微信小程序手写滑动tab index.wxml <view class"tab-bar"> <scroll-view scroll-x class"tab-scroll"> <block wx:for"{{tabs}}" wx:key"index"> <view class"tab-item {{currentIndex index ? acti…...
一文读懂如何安全地存储密码
目录 引言 明文存储 基本哈希存储 加盐哈希存储 适应性哈希算法 密码加密存储 小结 引言 密码是最常用的身份验证手段,既简单又高效。密码安全是网络安全的基石,对保护个人和组织信息的安全具有根本性的作用。然而有关密码泄漏的安全问题一再发生…...
buffer和cache的区别)
【运维面试100问】(六)buffer和cache的区别
本站以分享各种运维经验和运维所需要的技能为主 《python零基础入门》:python零基础入门学习 《python运维脚本》: python运维脚本实践 《shell》:shell学习 《terraform》持续更新中:terraform_Aws学习零基础入门到最佳实战 《k8…...
创建域名邮箱邮件地址的方法与步骤
如何创建域名邮箱邮件地址?使用Zoho Mail创建域名邮箱邮件地址的步骤简单易懂,操作便捷。从其他邮箱迁移到Zoho Mail的过程也相当顺畅,您可以轻松为所有员工创建具有企业邮箱域名的电子邮件地址。 步骤1:添加并验证您的域名 首先,…...
)
Qt框架学习(1)
1.安装Qt官网 安装需注意的是,要安装开源版(有钱当我没说),而安装包都是一样的,主要是在注册账户时选择个人开发,而不要选公司,否则在安装时登录账号后会安装商业版Qt. 2.Qt中的快捷键 快捷键解释F4头文件和实现文件切换ShiftF…...
3D电路板在线渲染案例
从概念上讲,这是有道理的,因为PCB印制电路板上的走线从一个连接到下一个连接的路线基本上是平面的。 然而,我们生活在一个 3 维世界中,能够以这种方式可视化电路以及相应的组件,对于设计过程很有帮助。本文将介绍KiCad中基本的3D查看功能,以及如何使用NSDT 3DConvert在线…...
ResizeObserver loop limit exceeded报错解决方案
前言: 控制台没有报错,但是开发Vue项目过程中一直报ResizeObserver loop limit exceeded 错,找到以下解决方式。在main.js文件中重写 ResizeObserver 方法。 main.js文件 (完整版) import { createApp } from "v…...
【OpenCV实现图像:使用OpenCV进行图像处理之透视变换】
文章目录 概要计算公式举个栗子实际应用小结 概要 透视变换(Perspective Transformation)是一种图像处理中常用的变换手段,它用于将图像从一个视角映射到另一个视角,常被称为投影映射。透视变换可以用于矫正图像中的透视畸变&…...
Vue中学习笔记-数据代理
文章目录 前文提要数据代理的概念MVVM模型和Vue中的数据代理M,模型V,视图VM,视图模型 前文提要 本人仅做个人学习记录,如有错误,请多包涵 数据代理的概念 使用一个对象代理对另一个对象中属性的操作。 MVVM模型和Vu…...
IDEA 配置maven结合案例使用篇
1. 项目需求和结构分析 需求案例:搭建一个电商平台项目,该平台包括用户服务、订单服务、通用工具模块等。 项目架构: 用户服务:负责处理用户相关的逻辑,例如用户信息的管理、用户注册、登录等。 spring-context 6.0.…...
基于白鲸算法优化概率神经网络PNN的分类预测 - 附代码
基于白鲸算法优化概率神经网络PNN的分类预测 - 附代码 文章目录 基于白鲸算法优化概率神经网络PNN的分类预测 - 附代码1.PNN网络概述2.变压器故障诊街系统相关背景2.1 模型建立 3.基于白鲸优化的PNN网络5.测试结果6.参考文献7.Matlab代码 摘要:针对PNN神经网络的光滑…...
fastp性能优化秘籍:如何根据数据类型选择最佳参数配置
fastp性能优化秘籍:如何根据数据类型选择最佳参数配置 【免费下载链接】fastp An ultra-fast all-in-one FASTQ preprocessor (QC/adapters/trimming/filtering/splitting/merging...) 项目地址: https://gitcode.com/gh_mirrors/fa/fastp fastp是一款超快速…...
Phi-3.5-mini-instruct与Ollama对比评测:本地化大模型部署方案选择
Phi-3.5-mini-instruct与Ollama对比评测:本地化大模型部署方案选择 1. 评测背景与目标 在AI技术快速发展的今天,越来越多的开发者需要在本地或私有环境中部署轻量级大模型。Phi-3.5-mini-instruct作为微软推出的高效指令微调模型,与Ollama这…...
用Multisim搞定数字电路课设:从奇偶判断到四舍五入的保姆级仿真教程
用Multisim搞定数字电路课设:从奇偶判断到四舍五入的保姆级仿真教程 数字电路课程设计是电子类专业学生绕不开的实战环节。记得我第一次用Multisim仿真四位奇偶校验电路时,因为没处理好悬空输入端,仿真结果完全对不上理论值,差点通…...
2025_NIPS_CALM: Culturally Self-Aware Language Models
文章核心总结与翻译 一、主要内容 本文提出CALM(Culturally Self-Aware Language Models)框架,旨在为语言模型赋予文化自我意识,解决现有模型将文化视为静态知识、缺乏动态适应性的问题。CALM通过四个核心模块实现文化感知:抽象认知空间分离任务语义与显式/隐式文化特征…...
jQuery Mobile 页面:深入理解与高效应用
jQuery Mobile 页面:深入理解与高效应用 引言 随着移动设备的普及,移动网页开发成为了前端开发的一个重要分支。jQuery Mobile 是一个流行的开源移动网页框架,它为开发者提供了一套完整的移动网页解决方案。本文将深入探讨 jQuery Mobile 页面的设计原理、实现方法以及在实…...
Notepad--:5个理由告诉你为什么这款国产跨平台编辑器值得一试
Notepad--:5个理由告诉你为什么这款国产跨平台编辑器值得一试 【免费下载链接】notepad-- 一个支持windows/linux/mac的文本编辑器,目标是做中国人自己的编辑器,来自中国。 项目地址: https://gitcode.com/GitHub_Trending/no/notepad-- …...
✅)
计算机毕业设计:Python股票数据爬虫与可视化分析平台 Flask框架 数据分析 可视化 大数据 大模型 爬虫(建议收藏)✅
博主介绍:✌全网粉丝10W,前互联网大厂软件研发、集结硕博英豪成立工作室。专注于计算机相关专业项目实战6年之久,选择我们就是选择放心、选择安心毕业✌ > 🍅想要获取完整文章或者源码,或者代做,拉到文章底部即可与…...
)
避坑指南:ISP图像调试中那些‘奇怪’问题的来源与解法(DPC坏点、LSC暗角、Color Shading)
避坑指南:ISP图像调试中那些‘奇怪’问题的来源与解法 在摄像头模组量产或项目集成阶段,工程师们常常会遇到一些看似"奇怪"的图像质量问题——固定位置的坏点、画面四周莫名偏暗或偏色、白平衡突然失准。这些问题往往不是单一因素导致…...
告别网络延迟焦虑:手把手教你用gPTP搞定车载TSN网络的微秒级时间同步
车载TSN网络微秒级同步实战:gPTP协议在AUTOSAR平台的深度解析 当一辆L3级自动驾驶汽车以60公里时速行驶时,1毫秒的时间误差意味着车辆位置偏差达到16.7毫米——这个距离足以让毫米波雷达误判前方障碍物的实际位置。这正是车载TSN(时间敏感网络…...
2026年最新排班管理软件盘点!10款主流排班管理软件功能对比与选型指南
在2026年的企业数字化管理版图中,排班管理软件已经不再是可有可无的辅助工具,而是决定企业人效与合规性的核心武器。面对日益复杂的用工环境,无论是连锁零售的碎片化排班,还是高端制造的复杂倒班,一款高效的排班管理软…...