做甲方安全建设,SDL是一个离不开的话题,其中就包含代码审计工作,我从最开始使用编辑器自带的查找,到使用fortify工具,再到后来又觉得fortify的扫描太慢影响审计效率...
发简信
IP属地:北京
-
代码审计系统 Swallow 开发回顾
-
开源代码审计系统 Swallow 内测发布
一 背景 这个月的主要目标是检验蜻蜓的编排系统和优化,我基于蜻蜓开发dolphin的ASM系统,这两周主要开发代码审计系统 swallow. Swallow是一款开源的代码审...
-
蜻蜓:GitLab结合fortify实现自动化扫描实践一、背景 在甲方做安全的同学可能会有一项代码审计的工作,通常需要从gitlab把代码拉取下来,然后使用代码审计工具进行扫描,然后对结果进行人工确认; 在这个流程中需要做的事情...
-
蜻蜓低代码安全工具平台开发之路
一、背景 蜻蜓内测版在五一前夕上线了,很快就积累的很多工具,用户数也逐渐增多,但我也逐渐发现这种堆积式的平台没太多技术含量;我在想是否可以做一些有挑战的事情,正好这几年低代码...
-
CIS 2021网络安全创新大会《代码安全体系建设》实录一、背景 汤青松 ,北京趣加科技有限公司 安全工程师,实体书《PHP WEB安全开发实战》作者,擅长企业安全建设,SDL安全建设。PHPCon 2020 第八届 PHP 开...
-
QingScan 快速集成自定义工具
QingScan是一个漏洞扫描聚合平台,添加目标后30款工具自动调用;不少人也想自己添加工具进来,其实添加非常简单,我们已经帮你考虑好了,你不用写代码只需要在界面操作就可以完...
-
Clion Debug模式使用实践
一、背景 最近为了考研,在学习C语言与数据结构,最开始使用Visual Studio 2019作为编辑器,但是总感觉不习惯; 之前一直使用jetbrains公司的编辑器,正好...
-
使用Docker进行Redis主从复制实践一、背景 最近在做零信任安全网关,需要使用Redis作为认证缓存服务器,因为网关服务器分布在多个集群,每次都跨机房认证不太实现;所以需要使用Redis主从同步,将过程记录下来...
-
使用Portainer部署Docker容器实践一、背景 最近在使用rancher2.5.5部署Redis主从复制的时候,发现rancher会产生很多iptables的规则,这些规则导致我们在部署了rancher的机器上无...
-
K8s微服务自动化部署容器(Rancher流水线)
一、背景 最近公司上线办公网零信任安全网关系统,由我负责部署上线,在部署的时候同时也在想如何保障稳定性,以及后续部署的简便性; 想起了k8s微服务的成熟方案,不仅可以自动重启...
-
Rad爬虫结合W13Scan扫描器挖掘漏洞
一、背景 这几天一直在研究W13Scan漏洞扫描器,因为对Python不是太熟悉,所以进度有点慢,一直没看懂怎么将代理请求的数据转发到扫描队列中去,决定先熟悉熟悉这个功能再说...
-
golang 单元测试框架实践一、简介 日常开发中, 测试是不能缺少的,每次手动测试非常费时费力,通过单元测试可以达到一次实现多次利用; 单元测试主要是通过模拟业务中的参数,调用我们的函数,然后获取执行结...
-
中文分词工具(LAC) 试用笔记
一、背景 笔者2年前写过一篇《PHP使用elasticsearch搜索安装及分词方法》的文章,记录了使用ES的分词的实现步骤,最近又需要用到分词,在网上发现一个百度的中文分词...
-
消息队列Rabbitmq的交换器类型
一、交换器类型 在rabbitmq中,生产者的消息都是通过交换器来接收,然后再从交换器分发到不同的队列中去,在分发的过程中交换器类型会影响分发的逻辑。 rabitmq中的交换...
-
docker中使用源码方式搭建SRS流媒体服务
一、背景 搭建流媒体服务的方式一般会采用nginx+rtmp和srs服务两种,前者是nginx加上插件所用,而后者是专门为了为了流媒体而生,在这一节中我们将从头搭建srs流媒...