来自 数据 2021-12-14 01:25 的文章

ddos盾_防御CC服务器_怎么办

ddos盾_防御CC服务器_怎么办

最近,在ZDNet上的几家技术新闻机构都发表了一篇标题为"微软:70%的安全漏洞都是内存安全问题"和"超过70%的微软补丁都是针对内存问题的。"当然,如果你构建了一个专为检测这些问题而设计的工具,这些标题引起了人们的不满和兴趣。事实证明,标题所依据的原始工作是由微软安全响应中心(MSRC)的Matt Miller完成的。这一最近在2019年2月举行的BlueHat大会上做的演示,海外网站如何防御ddos,提供了一些关于安全漏洞的有趣见解。12年内存安全问题Miller的演讲揭示了一个令人震惊的事实:内存安全问题仍然是安全漏洞的主要来源。微软的数据显示,至少在过去12年里,70%的CVE(常见漏洞和暴露)都是由内存安全问题造成的。这无疑表明开发实践还有改进的余地!资料来源:软件漏洞缓解环境中的趋势、挑战和战略转变,Matt Miller,微软安全响应中心,伊利诺伊州BlueHat,2019年2月7日内存安全问题的根本原因从我们的角度来看,更有趣的是同一项研究对这些记忆问题的根本原因的调查。分析的代码大部分是用C和C++编写的,微软研究发现内存错误同样的重复根源:堆外,使用后免费,类型混乱和未初始化使用。如果您熟悉静态分析工具,您就知道这些是静态分析可以检测到的错误类型。资料来源:软件漏洞缓解环境中的趋势、挑战和战略转变,Matt Miller,微软安全响应中心,伊利诺伊州BlueHat,游戏DDoS防御,2019年2月7日好消息是静态分析可以检测到这些错误,开发人员可以在生命周期的早期发现并修复这些错误。坏消息是,趋势表明,尽管有更好的工具,情况并没有好转。这里还有更多的事情要做,云盾网安DDoS云防御,米勒的陈述会更详细地说明什么和为什么。编写更安全代码的挑战在查看前面的数据时,一个显而易见的问题是"为什么情况没有好转?"米勒演讲中概述的各种挑战也反映了我们的观点:同样类型的漏洞继续困扰着软件开发。看来开发商年复一年都在犯同样的错误。尽管有新的漏洞类别,如熔毁和幽灵,利用漏洞倾向于长期错误类型。开发人员希望通过很少或根本没有培训和工具不足来防止漏洞。培训是有帮助的,但现代开发人员的要求往往使安全"额外的工作"在繁忙的日程之上。软件开发仍然是在糟糕的安全策略和控制下完成的。组织试图在开发生命周期中或以一种临时的方式来处理安全性太晚了。在安全方面的低投资导致了糟糕的结果。采用第三方和开源软件意味着继承了各种安全实践。虽然重用对于开发人员的生产力至关重要,但是安全性的影响常常被忽视。找到所有漏洞并不现实。尽管经过多年的努力,每年都会发现更多的漏洞。零容忍政策是不切实际的,因此需要采取务实的做法。提高软件安全性和静态分析的作用米勒演讲中提供的解决方案也符合我们一直在推广的内容。显然,作为一个静态分析工具供应商,我们希望看到我们的工具被使用。然而,如何做ddos防御,像这样的研究表明,收养并不是它应该做的,而且还有一些改进需要改进。这种现状给了我们12年的记忆错误。考虑一下Miller提出的随着时间推移实现更好的安全性的建议。我将从诸如GrammaTech CodeSonar这样的工具来考虑这些问题:使不安全代码更安全:使代码更安全的最佳方法是减少漏洞的数量。静态分析工具非常适合于检测最常检测和利用的错误类型。软件团队可以在产品的任何阶段采用静态分析,提高安全性。在内存错误进入代码存储库之前检测内存错误,并为工具提供最佳的投资回报。但是,如果需要,静态分析非常适合于大型代码基。向更安全的语言过渡:尽管在项目中途更改语言或为安全关键的嵌入式系统采用新语言是不切实际的,但可以采用更安全的语言子集,如SEI-CERT C。。静态分析工具非常适合于帮助团队根据已知标准评估代码,为什么我的cdn防御不了cc,并帮助在持续的基础上实施规则。即使C和C++可以存储内存错误,更安全的编码实践可以帮助消除许多这些问题。更安全、更高效的开发:软件团队需要采用更好的安全实践,并给开发人员足够的时间和培训来采用这些实践。例如,使用Sonar等工具,可以帮助开发人员使用高级代码分析工具来完成问题的根本原因分析。随着时间的推移,这将提高开发人员对漏洞的认识,并帮助他们防止进一步发生。随着更好的安全控制、编码标准和自动检测,可以减少开发团队的总体漏洞检测和修复工作量。希望自动化能帮助我们扭转12年来的趋势!摘要正如预期的那样,标题中还有更多的内容让人眼前一亮。微软的研究显示了一些有趣的信息,关于安全漏洞的根本原因以及每种漏洞的流行程度。所提出的挑战和观察符合格莱美泰克在市场上的经验,以及帮助改善这种状况的推荐方法。有了更好的工具和技术,以及在安全方面投入更多的时间,应该可以在改善安全方面取得进展。有兴趣了解更多?阅读我们的指南"使用静态分析增强代码评审"获取白皮书hbspt.cta公司.\u relativeUrls=真;hbspt.cta.负荷(582328,'c2c45658-dc38-4210-a8dd-c8033ad6e3e1',{});