V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
LinkedIn
14m3
V2EX  ›  职场话题

请问大家国内有哪些公司或部门是做程序分析、漏洞检测相关的开发或者研究的?

  •  1
     
  •   14m3 · 2019-06-29 22:50:30 +08:00 via Android · 2459 次点击
    这是一个创建于 1188 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我目前是研一的学生,方向就是通过程序分析的方法来检测开源软件中的缺陷漏洞,想请问一下 V 友前辈们,有哪些与该方向相关的公司?也为找工作做下准备。
    我知道的有源伞科技,Coverity 在中国好像也有部门。不知道像 BAT 这样的互联网公司有相关部门么?
    11 条回复    2019-07-05 09:58:09 +08:00
    hx1997
        1
    hx1997  
       2019-06-30 02:09:54 +08:00 via Android
    借楼问下,如果打扰十分抱歉:研究生想做二进制程序分析方面的,有什么学校推荐吗?
    FindNS
        2
    FindNS  
       2019-06-30 07:55:39 +08:00   ❤️ 1
    华为和阿里有做漏洞挖掘相关的组
    dreamcracker
        3
    dreamcracker  
       2019-06-30 11:02:30 +08:00   ❤️ 1
    腾讯 科恩实验室 玄武实验室 等等
    阿里 阿里安全猎户座实验室 等等
    360 360Vulcan
    长亭科技

    国内顶尖的研究二进制漏洞的团队我所知道的就这些
    14m3
        4
    14m3  
    OP
       2019-06-30 20:12:03 +08:00   ❤️ 1
    @hx1997 就我所了解到的,中科院软件所的苏璞睿老师团队是做二进制程序分析的,他们团队有很好的积淀,有一套基于 QEMU 的程序的基础设施。其他高校的团队了解不深.......
    14m3
        5
    14m3  
    OP
       2019-06-30 20:24:56 +08:00
    @FindNS
    @dreamcracker
    感谢回复,确实如您们所说的,阿里和腾讯有很多相关的安全实验室,如 @dreamcracker 说到的腾讯的七个安全实验室,阿里也有猎户座、双子座等等实验室。
    但是怎么说呢,其实我想去的是偏程序分析开发的部门和团队,安全实验室还是偏漏洞挖掘和利用,可能我表述的不太好,比如:facebook 有 一套针对 Java, C, C++, and Objective-C 的静态分析工具叫 infer,https://github.com/facebook/infer。google 内部在提交代码时也有类似的工具。
    我想做的还是这种静态程序分析工具的开发,类似的工具还有源伞的 pinpoint, Coverity 的静态检测工具, 包括 Clang 的 Clang static analyzer 和 clang-tidy。
    请问像 BAT 里面有没有开发类似的静态检测工具的开发团队么
    hx1997
        6
    hx1997  
       2019-06-30 21:47:27 +08:00 via Android
    @14m3 十分感谢!🙏
    hx1997
        7
    hx1997  
       2019-06-30 21:58:49 +08:00 via Android
    奇安信(原来的 360 企业安全)有做一个代码卫士,不知道是不是楼主要找的那种: https://www.anquanke.com/post/id/176080
    14m3
        8
    14m3  
    OP
       2019-06-30 22:36:51 +08:00
    @hx1997 奇安信确实是的 :)
    DragonQuestMaou
        9
    DragonQuestMaou  
       2019-07-04 18:57:29 +08:00   ❤️ 1
    @14m3 需要内推么
    14m3
        10
    14m3  
    OP
       2019-07-05 09:20:40 +08:00
    @DragonQuestMaou 首先谢谢您。但因为我毕业还有两年,所以明年的这个时候应该会找工作... 现在的话有点早了。
    顺便问一下,您所在的公司,有我说的这样的写静态分析工具相关的组么?谢谢
    DragonQuestMaou
        11
    DragonQuestMaou  
       2019-07-05 09:58:09 +08:00
    @14m3 源码审计肯定有
    我们默认是代码卫士或者 sonar 扫
    但是这种东西只能发现很低级错误 真正挖洞还是靠搬砖头
    代码卫士貌似在北京吧 具体不清楚
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1090 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 41ms · UTC 20:56 · PVG 04:56 · LAX 13:56 · JFK 16:56
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.