<div dir="ltr"><div dir="ltr">We use and have access to a number of both types of tools when we do dev training and pentesting.  We find them fairly useful both for dev and for red teaming.<div>On the dynamic side, we wrote a recent blog here: <a href="https://www.vdalabs.com/2019/02/01/microsoft-security-risk-detection-writing-a-custom-test-harness-to-fuzz-libraries/">https://www.vdalabs.com/2019/02/01/microsoft-security-risk-detection-writing-a-custom-test-harness-to-fuzz-libraries/</a></div><div>We'd be happy to connect ppl to MS if they're interested in buying time on their range.</div><div><br></div><div>Thanks!</div><div>Jared</div><div><br></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Feb 11, 2019 at 2:00 PM Dave Aitel <<a href="mailto:dave.aitel@gmail.com">dave.aitel@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">So one thing I often find weird about our industry is how it gets taken over by marketing language and the utility of entire classes of products gets clouded over. For example, part of any SDLC is going to be static and dynamic analysis. However, if you ask a normal security manager what kinds of bugs these sorts of products find or don't find, and what the false positive levels are, they find it hard to answer, even assuming they use them.<div><br></div><div>What I'm trying to do with <a href="http://infiltratecon.com/training/" target="_blank">INFILTRATE's Java Hacking</a> class is get access to a modern static analysis tool and be able to plug the class exercises into it. This way, not only do you have a corpus of "Correct" vulnerabilities, but you get to see what it looks like through the "Source-to-sink" algorithms, and how to tell true positives from false positives, and also examine false negatives. </div><div><br></div><div>Likewise, judging a static analysis tool is often about figuring out where they set their dial. When you talk to the Chris's they will say they have VERY LOW false positives, which is never my experience with any tool in this area. But you can dial UP the false negatives to get lower false positives for any tool like this. BUT DO YOU WANT TO? These are important trade off questions that need to be examined in the wild as opposed to through marketing.</div><div><br></div><div>Anyways, sign up for the class, because it is a great class, and this may be the first time anyone has done a corpus test on a static analysis tool during class. :)</div><div><br></div><div>-dave</div><div><br></div></div>
_______________________________________________<br>
Dailydave mailing list<br>
<a href="mailto:Dailydave@lists.immunityinc.com" target="_blank">Dailydave@lists.immunityinc.com</a><br>
<a href="https://lists.immunityinc.com/mailman/listinfo/dailydave" rel="noreferrer" target="_blank">https://lists.immunityinc.com/mailman/listinfo/dailydave</a><br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr">Thanks,<div><br></div><div>Dr. Jared DeMott</div><div>Founder, VDA Labs</div><div><a href="http://www.vdalabs.com" target="_blank">www.vdalabs.com</a></div><div><img src="http://vdalabs.com/VDA_TEXT_VERY_SMALL.png" width="96" height="22"><br></div></div></div>