腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
首页
学习
活动
专区
工具
TVP
最新优惠活动
返回腾讯云官网
安全乐观主义
专栏作者
举报
48
文章
74618
阅读量
26
订阅数
订阅专栏
申请加入专栏
全部文章(48)
安全(36)
网络安全(30)
https(19)
安全漏洞(11)
java(8)
编程算法(6)
打包(5)
开源(5)
ide(4)
github(4)
文件存储(4)
对象存储(3)
access(3)
腾讯云测试服务(3)
数据安全(3)
数据分析(3)
微服务(3)
javascript(2)
git(2)
spring(2)
http(2)
devops(2)
存储(2)
自动化(2)
windows(2)
网站渗透测试(2)
安全治理(2)
云硬盘(1)
c++(1)
jsp(1)
json(1)
硬件开发(1)
api(1)
lucene/solr(1)
linux(1)
神经网络(1)
SSL 证书(1)
检测工具(1)
数据加密服务(1)
图像处理(1)
DevOps 解决方案(1)
企业(1)
serverless(1)
游戏(1)
黑客(1)
shell(1)
jdk(1)
grep(1)
tcp/ip(1)
dubbo(1)
rpc(1)
小程序(1)
sas(1)
腾讯云开发者社区(1)
应急响应服务(1)
漏洞扫描服务(1)
搜索文章
搜索
搜索
关闭
使用方舟编译器检查Fastjson OOM问题
ide
打包
json
编程算法
java
通过介入编译期间进行安全检查是类似于Facebook infer类的产品,为什么要这么做呢?源代码安全检查工具粗略分为两个大的流派,一个是类似于coverity,需要编译,厂家集成实现了cov-build这样的编译工具;另一个是checkmarx直接分析语法树进行检查,再上层的例如p3c、pmd、sonarcube都是基于字节码、数据流的规范检查,执行编译有助于将代码规范起来,缓解路径不可达问题降低误报,SAST不能避免软件工程的莱斯定理(Rice’s Theorem)在图灵机的应用:我们可以把任意程序看成一个从输入到输出上的部分函数(Partial Function),该函数描述了程序的行为,关于程序行为的任何非平凡属性,都不存在可以检查该属性的通用算法,误报是允许在得不到精确值的时候,给出近似答案,这个答案就是一定比例的误报或者漏报。本文即尝试类似RoboVM、SVF使用LLVM的思路进行数据流和控制流的软件错误检测。扩展知识可以看下北大熊英飞教授的软件分析技术(Software Analysis)公开课件https://xiongyingfei.github.io/SA/2018/main.htm。
安全乐观主义
2019-11-20
773
0
没有更多了
社区活动
RAG七天入门训练营
鹅厂大牛手把手带你上手实战,赢鹅厂证书、公仔好礼!
立即学习
Python精品学习库
代码在线跑,知识轻松学
立即查看
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
立即体验
技术创作特训营·精选知识专栏
往期视频·千货材料·成员作品 最新动态
立即查看
领券
问题归档
专栏文章
快讯文章归档
关键词归档
开发者手册归档
开发者手册 Section 归档