源代码安全风险评估服务 代码安全风险评估服务
服务背景
软件源代码的安全性越来越重要, 黑客越来越趋向利用软件代码的安全漏洞 攻击系统,几乎 75%的黑客攻击事件与软件代码安全相关。为了加强软件源代码 的安全性,由内而外解决企业面临的代码安全挑战。神州数码联合业界代码安全 风险评估产品(以色列:Checkmarx),帮助软件企业和项目降低软件安全风险, 提高软件代码的安全性,提供灵活方便的源代码安全风险评估服务.本服务主要 帮助企业查找和分析已有的软件源代码,识别其安全风险,并提供详细的分析和 修复建议,帮助企业尽快尽早修复软件代码的安全缺陷,保障系统的安全性,从而 保护企业核心软件的安全性,保护企业信息系统资产及正常的信息化服务.
Checkmarx 成立于 2006 年, 其发展愿景是为自动安全代码审核提供综合解决方 案。该公司开创了基于
查询语言的用于跟踪技术和逻辑代码漏洞的解决
方案理 念。 Checkmarx 一直被高德纳咨询公司认定为其最新静态应用程序安全性测试(SAST) Magic Quadrant 中的唯一概念设计商和 2010 应用
软件安全的“优秀”销售商。 成功案例: 成功案例:
世界范围客户:全美银行、Salsforce.Com 公司、新闻集团、道琼斯公司、雅高酒店
及里德爱思唯尔集团…
中国区客户:国家电网 、上海软件测试中心、北京大学、北京信息安全测试与评估中 心、信息技术安全国家研究中心 (NRCITS)、
计算机软件技术上海开发中心、清华大学…
服务概述
软件源代码是软件需求、
设计和实现的最终载体,源代码安全风险评估发 现 代 码 构 造 期 间 引 入 实 现 级 别 的 安 全 漏 洞 ,并 为 这 些 编 码 错 误 建 议 补 救 措 施 。源代码 安全风险评估对 现 有 代 码 库 进 行 分 析 , 并 对 导 致 安 全 漏 洞 的 代 码 构 造 进 行 定 位 。 包 括 但 不 限 于 OWASP Top 10、 PCI 、 CWE、 CVE、 SANS20、 SOX 等国际权 威组织公布的软件安全漏洞。 OWASP Top 10 主要的安全漏洞枚举) (OWASP 主要的安全漏洞枚举)
我们的专业安全团队将静态分析工具和专家手动审查相结合来尽可能揭示 所有的可能存在的安全漏洞。 支持源代码安全风险评估的语言 – Java、
JSP、
JavaSript、 VBSript、C# 、 ASP.net 、
VB.Net、 VB6、 C/C++ 、ASP 、
PHP, Ruby、Android 、APEX (AppExchange platform)、 API to 3rd party languages 使用的工具 – 以 色 列 优 秀 的 静 态 源 代 码 安 全 风 险 评 估 工 具 -Checkmarx CxEnterprise 分析的流程 运用三步走的方法来执行
源代码安全风险评估: 确定源代码安全风险评估的审查目标 使 用 Checkmarx CxEnterprise 执 行 初 步 扫 描 并 分 析 安 全 问 题 结果 审查应
用程序的架构所特有的代码安全问题
在第一步中,我们使用威胁建模(如果可用)的结果以及对用于 构 建 该 应 用 的 架 构 和 技 术 的 理 解 ,其 目 标 就 是 寻 求 一 系 列 的 安 全 漏 洞 的 风 险 表 现 形 式 。在 初 步 检 查 过 程 中 ,我 们 将 结 合 静 态 分 析 和 轻 量 级 的 人 工 审 查 来 确 定 代 码 中 关 键 点 -很 可 能 包 含 了 更 多 漏 洞 的 地 方 , 初 始扫描使我们能够优先考虑风险最高的区域。 在审查主要代码过程中,我们的源代码安全分析人员对代码进 行彻底审查来寻找常见安全问题,比如大家熟悉的缓冲区溢出、跨 站 点 脚 本 ,SQL 注 入 等 。最 终 审 查 用 于 调 查 本 应 用 程 序 架 构 所 特 有 的
问题,一般表现为威胁建模或安全特征中出现的威胁,如自定义身 份验证或授权
程序等。 可交付材料 源代码安全风险评估的目标
文档描述了这些内容: 针对对黑客感兴趣的资产、代码实现上的错误,这些错误将危及 这些资产的安全,以及在使用的技术和编程语言中常见错误; 针对每一个已经识别漏洞的报告,包括所发现漏洞的概述、影响 和严重性以及再现该漏洞的步骤和可用于修复该漏洞缺限的补 救措施建议; 最终源代码安全风险评估报告详细说明本次风险评估结果、成果 和 整 体 印 象 、审 查 期 间 发 现 的