00 00 00 00
您当前的位置:首页 > 演讲嘉宾 > ChinaTest
韩葆

个人简介

韩葆,毕业于北京工业大学计算机学院,早年在Sun中国研究院为OpenSolaris操作系统搭建测试平台。后进入安全测试领域,深入研究白盒测试、静态分析、网络协议Fuzzing、渗透测试等技术。经历了研发测试行业和软件安全行业在中国从无到有,从小到大的整个过程。2013年作为中国区首席工程师加入Coverity(2014年被Synopsys收购),成功的将静态分析技术引入中国,在2014年和2015年两次作为中国质量竞争力大会演讲嘉宾介绍代码静态分析与软件安全测试技术。目前担任Synopsys Software Integrity Group客户经理,致力于软件团队的研发测试与软件安全平台搭建,改善软件质量,提高软件安全性。


议题:软件研发阶段的质量与安全测试技术实战-SAST/Fuzzing/IAST/SCA

议题摘要

绝大多数的研发团队都将测试工作放在研发阶段之后,Bug 的调试分析和回归测试工作需要大量的人力/时间成本。研发阶段的静态分析SAST,网络协议模糊测试FUZZING,交互式应用安全测试IAST,开源组件/代码漏洞扫描等技术作为有效的研发测试手段,能够通过多种技术直接发现软件中的质量缺陷和安全漏洞,达到“早期发现,早期修复”的目标。但另一方面这些技术普遍存在误报率高和性能较差的问题。本主题将通过真实的质量缺陷和安全漏洞实例详解软件研发阶段的测试技术原理、误报消除和实际应用,包含以下内容:

1. SAST-代码静态分析技术的原理-布尔表达式求解(SAT)、路径仿真与误报消除。

2. IAST交互式应用安全测试与渗透测试,面向Web 项目(ASP/JSP/PHP)中的安全漏洞与攻击检测分析技术。

3. Fuzzing-网络协议模糊测试(心脏出血漏洞的发现)。

4. 使用不同技术挖掘软件缺陷与漏洞发现过程:质量性问题、崩溃类问题、安全类问题(OWASP Top 10):Heart Bleed 缺陷、Structs2远程代码执行漏洞、IOS Goto Fail漏洞,XSSSQL注入,CSRF,缓冲区溢出,数组越界,内存崩溃等。典型开源项目(Linux Kernel/Python 解释器/ANTLR/Tomcat)中存在的缺陷。

5. 开源代码版权分析与已知安全漏洞扫描技术。

6.不同类型研发团队的质量与安全测试无缝集成—移动团队(Android/iOS)、互联网团队、电子商务团队、硬件研发团队。



论坛信息
【ChinaTest】第五届中国软件测试大会 大时段并行课程
主题:安全性测试

7月18日 14:00-17:00
演讲题目:软件研发阶段的质量与安全测试技术实战-SAST/Fuzzing/IAST/SCA
演讲嘉宾:韩葆(Synopsys)

合作伙伴