开源系统的黑盒代码安全审计的看法

       outputo-20210821-073133-590-wjae.png

          除开LSpider和扫描软件这条主线之外,我还慢慢从新思考我了解的黑盒审计软件。在写本文的时间,我觉得CodeQL是黑盒发展趋势的将来,除开QL化的基本之外,我原本以为根据预设条件来搭建谓词演算,再结构更繁杂的检测方案是合理的发展趋势途径。在这个基本上,我探究性学习的写了1个把tp框架变为CodeDB的方案,并在这个RF的基本上完成了1个检测tp框架反序列化链的软件。

在写完这一软件以后我慢慢有一点触碰着我的短板了,我确实发觉我事实上沒有特别好的方法去认证基础理论的可行性分析,假如用于对开放源码检测,非常容易深陷了对于提升却又沒有常用提升的发展趋势边界。我既没法明确我的想法是否准确,又没法找到我坚持下去的方位。因此在这个时候我萌发了第2次需要脱离鼎创的念头。

在这里以后,我一直沒有寻找非常适合的正确方向,因此我已经较长一阵子沒有继续为KunLun-M(Cobra-W更名)健全新的功能模块了。时间来到2020年年末,那时赶在我来为没法硬改Xray而遭受苦恼的时间,LSpider来到困境,又碰到我自始至终为KunLun-M无人过问而遗憾。所以我萌发了将里面的代码开源系统化的念头,这也是星链计划的发源。

我坚信有许多盆友是由于星链计划了解我的,这一计划最开始或是较为简单的,初心只不过是由于觉得许多开源系统软件写的很烂了,乃至那类非常简单的小脚本制作写不太好。在这个基本上,一个是期待找一个突破口公布某些我们里面的的小东西,此外1个也是为了能根据开源系统我们的代码来某些我们对开源系统软件的项目。期待根据我们的以身作则来证实,1个开源项目最重要的也许并不是成熟稳重实用,反而是坚持不懈的维护。因此星链计划问世了。在星链计划经营的环节中,我慢慢慢慢意识到我们的局限性和不够,撇开之前就会有的累积不谈,1个全新升级的、成熟稳重、实用的软件问世周期时间太长了,只靠404实验室的能量,又无法在短期内生产出软件,也没法遮盖到许多方位。在许多情况下,我还务必认可,我对渗透、招标方的理解是不能支持我去开发设计1个相应的软件的。因此1个新的念头萌发了,即然我们做不来,我们是否能够搞好网络平台,去强烈推荐别人的软件呢?

分享: