【培训播报】：安全编码培训第一期

培训播报：安全编码培训第一期

培训名称：Security Lab安全编码培训（cc++）

培训对象：Smart Speaker成员

培训背景：Security Lab为了更好的服务于产品安全，同时搜集各个Team安全编码培训需求，通过集中、专题的形式提升开发人员的安全编码能力。

培训目的：

1. 了解代码审计对于产品安全的重要性；

2. 了解由于不安全编码造成的漏洞成因和危害；

3. 了解安全编码需要注意的关键点。

本期嘉宾我们请来了Security Lab

安全专家桂加睿

一个有着十年司龄的老安全人

桂加睿被同事们亲切的称为“姐夫”

（“姐夫”这个称呼来源于他的英文名称Jeffrey，

从此广为流传~）

下面为大家带来“姐夫”的现场培训

（step1：安全大咖隆重登场~）

“姐夫”首先介绍了在实际工作中我们是如何做代码审计的。代码审计是安全生命周期中的重要一环，程序的安全性是否有保障很大程度上取决于程序代码的质量，而保证代码质量最快捷有效的手段就是代码审计。

（代码审计过程）

接下来“姐夫”详细讲解C/C++编码中常见的一些漏洞，包括缓冲区溢出、堆溢出、格式字符串攻击、整数溢出、数组越界、释放后重用等，讲解了这些漏洞的是如何产生的。

（Step2培训开始~）

接着“姐夫”介绍了在编码中如何避免产生这些漏洞，提高代码的质量，同时介绍了在C/C++开发中经常出现的编码错误，并且给出了相关的安全编码建议。

（Step3认真讲解ing~）

进入问答环节，“姐夫”就其中的一个漏洞利用进行深入的讲解，现场演示了栈溢出漏洞利用的效果。Smart Speaker Team的同事提出了问题“如何编写shellcode”，大家就这个问题展示了深入的讨论。

（Step4：实问实答环节）

最后，“姐夫”对第三方开源库使用过程中遇到的一些问题进行解答，第三方库的审查也是很重要的，其中涉及到第三方库的持续维护，第三方库中产生相关漏洞的通告及修复措施。

（step5：无限制问答环节）

（happy ending~）

2017年10月19日

安全实验室安全编码培训第一期活动

完美落幕

通过”姐夫“的分享

我们对安全编码有了更加深刻的认识 

感谢”姐夫“的倾情分享

感谢各位小伙伴们的积极参与

安全编码大讲堂

我们下期再会