实训环境安装需安装JDK1.8并配置环境变量，解压graphviz包到指定路径。将cobot-checker工程文件夹拷贝至本地，由培训老师生成license文件并导入。在Eclipse中导入项目后，需修改配置文件cobot-preprocess.properties中的路径参数，并添加license文件路径。运行检测器时需检查testFile属性路径是否匹配，若无法输出结果需清除Run Conf

库博（CoBOT）作为国产静态应用安全测试（SAST）工具标杆，在技术架构、检测能力、行业适配等方面展现显著优势。其自主研发的"值依赖分析引擎"实现语义级缺陷检测，支持"编译通过+编译不通过"双模架构，显著提升嵌入式等高安全场景的检测覆盖率。相比传统工具，库博具备更全面的缺陷与漏洞检测体系，覆盖军工、汽车电子等行业标准，并实现100%自主可控。通过AI赋能和

本文聚焦军用领域软件工厂建设核心需求，探索可信软件仓库构建与军用软件SBOM体系建设的实践路径。研究表明，两者协同可筑牢军用软件供应链安全防线、支撑“搭积木”式研发模式落地；更可依托可信软件仓库沉淀的标准化组件资源训练AI模型，使新型号软件快速开发成为可能，为军用软件工业化、高效化转型提供关键支撑。

北大软件库博Cobot静态分析工具突破传统检测限制，能在编译失败时仍进行有效分析。其基于CDT/JDT引擎，通过词法分析和语法解析生成AST，即使代码存在错误也能识别潜在缺陷。该工具支持多编译器自动匹配，特别适合非研发部门进行代码质量检测，解决了传统工具依赖完整编译环境的痛点，为软件开发提供了更灵活的质量保障方案。

供应链安全，静态分析

有些同行提到自动化测试或自动化测试开发就想到使用自动化测试工具QTP、Winrunner、或其他开源的测试框架，其实除了这些商业的自动化测试工具外，我们亲自编写一些测试驱动程序，完全可以实现自动化测试，且控制灵活，能够符合自己公司业务系统的特点。下面是一个小案例，希望能够给你带来一些启发。测试需求：要对公司提供的Webservices进行测试，包括功能...

Gartner最新发布的关于AI大模型的安全治理

随着AI语言大模型的爆发，针对AI模型的安全测试也必然提到日程上来。一些安全工具是可以整合这方面能力的。

赶在如火如荼的2023 AI的尾声，开始研究AI，在了解了当前技术的发展以及试用了多个AI模型和平台之后，计划本地安装Llama.cpp，利用积累的威胁建模数据和检测规则数据进行数据微调，实现自动化威胁建模和AI静态分析。但是没有GPU，在笔记本电脑上缺少GPU，所以查了很多资料，缆车那个平台可以白嫖GPU。

​​​​​​​看了很多大模型平台，基本上这些平台都开源了模型建立过程，训练和微调数据等整个过程和脚本在github上描述的也比较详细，很多AI人员也分享了很多模型训练过程。经过多次比较选择，感觉还是LLaMA还是比较好，称为羊驼，国内在这个模型基础上，增强了中文能力，考虑到租用GPU成本问题，采用7B模型。