software security training 的一些总结

公司里牛人的security software培训， 去听了一下，很多没有听懂，security 不是三言两语就能完全搞明白的，必须花很大的力气啊。

还是先把主要纲要记录一下，方便以后翻看。

主要介绍了这几个方面的内容：

1. memory corruption

   包括stack overflow and heap overflow.

2. integer wraparound (整数加 或者 乘， 反而溢出变小)

    signed 和 unsigned integer 混用

3. array index 的问题 （与之相关的是 著名的 openssl 的 heartbleed 漏洞）

 讲义有空再看。

Day2:

今天是training 的第二个部分，心得如下：

1. do not use banned API,

 比如 strcpy 等等，有更加安全的函数。

2. uncontrolled format string

 printf 使用需要注意。