一、Jenkins简介 Jenkins是一个用Java编写的开源的持续集成工具，提供了软件开发的持续集成服务。 官方网站： 二、Jenkins安装部署 （1）安装JDK ...

导语 12 月 9 日晚间，Apache Log4j 2 发现了远程代码执行漏洞，恶意使用者可以通过该漏洞在目标服务器上执行任意代码，危害极大。 腾讯安全第一时间将该漏洞收录至腾讯安全漏洞 ...

　　Sonar是一个用于代码质量管理的开源平台，通过插件机制，Sonar可与第三方工具进行集成。将Sonar引入到代码开发的过程中，提供静态源代码安全扫描能力，这无疑是安全左移的一次很好的尝试和探索。 ...

被动型IAST被认为是DevSecOps测试阶段实现自动化安全测试的最佳工具，而就在前几天，洞态IAST正式开源了，这对于甲方构建安全工具链来说，绝对是一个大利好。 我在5月份的时候就申请了洞态IA ...

在idea intellij中使用Sonarqube进行代码检查 一、SonarLint插件安装 1.1 在线安装 （1）打开IDEA菜单，File --> Settings ...

摘要：在业务应用交付规模不断扩大、交付速度不断提高、开发运营场景一体化的大环境下，安全问题你真的重视么？ 本文分享自华为云社区《HDC.Cloud2021 | 提升漏洞修复率，DevSecOp ...

摘要：静态扫描工具融入在DevSecOps的开发过程中，对提高产品的整体的安全水平发挥着重要的作用。为了获取安全检查能力覆盖的最大化，开发团队通常会引入多个安全扫描工具。为了降低各种分析工具的结果 ...

一、DevSecOps产品 国内做的比较好的： 悬镜安全：https://www.xmirror.cn/ 默安科技：https://www.moresec.cn/ 开源网安：http ...

摘要：20年安全研发积淀，华为云发布5大研发安全能力。 随着云原生的普及，企业的研发模式也转向了以DevOps为代表的敏捷模式。如何在敏捷模式下做好软件安全，成为企业关注的核心问题。4月25日 ...

摘要：为了降低各种分析工具的结果汇总到通用工作流程中的成本和复杂性, 业界开始采用静态分析结果交换格式(Static Analysis Results Interchange Format (SA ...