中科天齐软件安全中心

移动应用安全审计侧重于移动应用的安全方面。主要检查应用程序的代码、功能和架构，以找到攻击者可能利用的漏洞。

网络安全威胁是多方面且相互关联的，随着勒索软件、软件供应链攻击、民族国家攻击等多种网络威胁的发展，为当今快速发展的数字世界带来巨大的安全威胁。

DevSecOps是一种将安全性集成到DevOps管道中的战略方法，而不是将其视为事后的想法或单独的过程。转向DevSecOps意味着我们将安全融入到开发流程中。

静态应用程序安全测试(SAST)是分析和测试应用程序源代码是否存在安全漏洞的过程。软件开发人员使用 SAST 在软件开发生命周期(SDLC)早期(即应用最终发布之前)查找并修复源代码中的缺陷。

随着国产软件的使用及对安全要求提升，越来越多的企业在关注软件开发安全及代码安全的同时，逐渐将选择目光放在国产化工具上。

动态应用程序安全测试 (DAST) 是在运行时分析 Web 应用程序以识别安全漏洞或缺陷的过程。在 DAST 中，测试人员在应用程序运行时检查应用程序，并试图像黑客一样攻击它。

JavaScript 是现代web应用程序的一个重要组成部分，这也导致跨站点脚本(XSS)成为一个常见的安全漏洞，使XSS攻击如果成功的话影响很大。

悬空指针可能不会像以前那样产生那么多的安全问题，但这种常见的编程错误仍然可能导致系统崩溃并构成严重威胁。 十几年前，悬空指针被认为是质量控制问题，而不是安全问题。

静态代码检测工具能够直接面向源代码，发现代码中潜在的错误、漏洞和不良编程习惯，无需人工逐行检查代码，大大提高了检测效率。