Search Our Site

注册

应用安全,从代码着手-----安全代码审核方案




                                                            

                                                              图1

                                                                  图2

                                                                 图3


                                                              
图4



1、安全代码审核解决方案全貌

2、商业咨询服务

深圳市互联网安全研究中心是国内领先的应用安全服务中心,近年来不断吸收国内外最新、最专业的安全技术,形成了完善的商业咨询体系、高效的商业咨询流程与方法论。 安全代码审核方案可以帮您评估当前企业应用系统的安全现状与未来发展需求,提供全面、专业的安全体系建设、安全流程规范、安全代码扫描流程的咨询。咨询与服务内容包括:
S-SDLC安全软件开发生命周期
扫描漏洞基线的建立  
安全漏洞扫描工具使用 
代码审核流程规范
安全维护方案


2.1、咨询范围
2.2、咨询服务流程

3、安全编码规范

开发阶段为引入漏洞最关键的阶段,超过50%的安全漏洞由错误的编码产生。究其原因是因为开发人员对所使用的语言与技术的安全特性不了解,写出的代码符合功能上的需求,但缺乏安全上的考虑。互联网安全研究中心基于OWASP国际开源WEB安全研究组织,联合国内外专家编写了各种主流语言的标准安全编码规范。根据不同的需求,能够为客户定制符合企业自身技术标准的安全编码规范。
主流安全编码列表:
C/C++安全编码规范  
Java安全编码规范
JavaScript安全编码规范
Python安全编码规范
PHP安全编码规范
CSharp安全编码规范

4、代码审核规范
代码审核机制是确保编码质量的关键机制。由于工作量的缘故,采用静态扫描工具代替人工是当前的趋势。但静态扫描工具并非是全自动化的工具,如果企业没有相应的安全漏洞基线、扫描流程规范与安全负责人,那么工具并不能带来很大的作用,反而有可能带来额外的工作量。


4.1、漏洞基线

定义漏洞基线可以对应到标准S-SDLC威胁建模中定义威胁的部分。通过把项目可能有的威胁对应到漏洞扫描基线中,可以通过工具快速的检测项目应对威胁的安全措施有无实现。精确扫描基线的建立可以大量减少后期排查漏洞时间。


4.2、扫描流程规范

各部门之间的协作不畅往往是企业无法真正用好静态漏洞审核工具的原因之一。互联网安全研究中心通过汲取国内外成功案例的经验,具备能力为客户制定高效、合理的扫描流程规范。

 
5、工具使用与漏洞修复培训

5.1、工具使用培训

由于静态工具本身固有的一些弱点,如误报与漏报,如果用户没有对工具的原理与使用了解透彻,在使用过程中势必会遇到困难。面对成千上万的扫描漏洞与大量的误报,开发人员往往无从下手。不仅如此,对于不同的项目,漏洞集的设置与漏洞规则也不可能一成不变,而这些都依赖使用者对工具的熟悉程度。如果不能发挥工具辅助于人的特性,那么使用漏洞扫描工具反而成了一种多余负担。互联网安全研究中心具有丰富的各类主流静态代码扫描的使用经验、能够为企业用户提供专业的使用指导。 提供支持的工具列表:
Contrast
HP Fortify
IBM App Scan
Coverity
Checkmarx CxSuite

5.2、漏洞修复培训

漏洞不知如何修复也是制约用好工具的一个重要因数。每个研发团队成员的安全水平往往参差不齐,如不让研发人员明白每种漏洞的统一修复方案,漏洞就不能及时有效的得到修复。安全代码审核方案包含详尽的各语言漏洞培训服务,细致到代码示例与攻击讲解。


6、交付与维护

6.1、交付内容

安全代码审核方案实施后将为客户建立一整套完善的代码审核机制。项目交付物包括: 安全代码审核现状分析报告 代码扫描基线 安全编码规范 扫描流程规范

6.2、技术支持

安全代码审核技术团队秉承客户至上的理念,提供比原厂商及各代理商更快反馈速度。提供日常工具使用过程中的故障排查,误报、漏报问题修复等技术上的支持。支持方式包括电话、电邮、远程协助与现场的方式。