aboutbanner
您的位置:首页 - 产品中心 - 软件代码安全审计服务软件代码安全审计服务

软件代码安全审计服务

发布人:  发布时间:2015年06月04日  点击次数:1031次

信息化是把双刃剑,在提高生产和工作效率、方便信息共享的同时,也使企事业单位的重要信息资料更容易被窃取、使生产系统更容易遭到攻击和破坏。随着信息化的快速深入发展以及Internet的广泛应用,信息安面临着越来越大的挑战。大量事实证明信息安全问题,绝大部分由软件自身的漏洞和缺陷引起。

据Gartner报告(The Ratio of Hacking and Security Incident),攻击由网络层转向应用层,75%的黑客攻击源于应用软件,并非是网络或服务器。黑客攻击的方向越来越侧重于利用软件本身的安全漏洞,例如SQL注入漏洞、跨站脚本漏洞、CSRF漏洞等。这些漏洞主要由不良的软件架构和不安全的编码产生。美国国防研究资料显示,平均每一千行源代码中会出现1行有安全漏洞的源代码。

如何评估软件的安全性,如何保证软件应用的安全、可靠,是软件开发企业和软件应用企业共同关注的课题。但是很多企业对软件安全漏洞的风险不甚了解,或没有有效的手段去检测软件的安全漏洞,也没有系统而又科学的经验和最佳实践去预防软件安全事故的发生,并进行有效管理。无疑,这将为软件的应用安全埋下极大隐患,软件应用企业可能会因此遭受信息泄露、生产业务遭到攻击而被迫中断,给企业造成以难以估量的损失。

软件代码安全审计是通过专业的代码安全审计工具和专业的评估服务,高效检查源代码中的漏洞和错误,实现对应用程序源代码的集中管理、集中扫描、测试和审计。利用代码安全审计规则(基于CWE、OWASP等国际标准的安全漏洞模式DB),快速而全面地分析源代码,准确提示应用程序中存在的代码安全隐患并提供有效解决建议。根据审计结果及问题定位,在开发阶段将软件代码安全隐患进行消除,从而提高软件应用的信息安全、并降低软件开发和维护成本。

软件源代码安全审计服务,不需要执行应用程序,仅用静态分析即可预先检测出应用程序中存在的安全漏洞,即时对漏洞采取安全处理措施,从而避免软件系统上线应用后安全事故的发生。

服务目标

 1.降低代码安全风险:

  专业化分析并准确找到源代码安全漏洞,帮助企业构建安全的软件代码,提高源代码的安全性和可靠性,提高软件系统自身安全能力,

防止软件应用安全事故的发生。

 2.提高应用程序质量:

  应用源代码静态分析技术,预先检测出灾难性错误,防止由此造成的系统故障及业务混乱。在开发早期检测并消除代码缺陷,以提高业

务应用稳定性和安全性。

 3.提升软件开发效率:

 预先检查代码漏洞缺陷,大幅减少软件测试、验收所需时间,提高软件开发生产效率。

 4.节减软件开发成本:

 早期发现代码漏洞缺陷,节省错误修改费用、节省开发工时,以及不必要的维护费用开支。

5.合规:

 预先检测出代码层次的规定遵守程度,以实现合规目标。

服务内容

 1. 源代码安全现状测评

  针对软件开发过程中的编码阶段、测试阶段、交付验收阶段,对各阶段系统源代码进行安全审计检测。采用专业的源代码安全审计工具

对源代码安全问题进行分析和检测并验证,提供基于CWE、OWASP等国际标准的安全漏洞模式DB,基于内置安全漏洞检测规则自动检源

代码,从而对源代码安全漏洞进行定级,给出安全漏洞分析报告等,帮助软件开发管理人员统计和分析当前阶段软件安全的风险、趋势,

跟踪和定位软件安全漏洞,提供软件安全质量方面的真实状态信息。

  主要检测以下漏洞:

  跨站点脚本攻击

  跨站点请求伪造

  SQL注入

  资源泄漏

  命令注入

  路径操作

  密码管理:硬编码

  LDAP注入

  Xpath注入

  错误的异常处理

  未释放的资源

  死代码

 2. 源代码安全整改咨询

  依据源代码安全测评结果,对源代码安全漏洞报告进行审计,并依据安全漏洞问题给出相应修改建议,协助系统开发人员对源代码进行

修改,以消除代码安全漏洞。

软件代码安全审计效果:

 图表1 安全扫描结果统计

  图表 2 违反安全规则统计TOP 10

 

  图表3 安全扫描结果详细展示

 

服务流程