某信息安全厂商是国内领先的安全企业,在多个领域的基于先进计算的案例应用量位于全国前列,部分核心关键技术实现了重要突破。该厂商以强大的技术实力推动轨道交通智能制造、电子政务智能服务、健康保障医疗等多个行业的数字化发展。
多次参与重大安全保障工作,敏锐发觉安全缺陷
多年来,该厂商参与护网行动、奥运会安全保障服务、全国两会活动、第三届世界互联网大会等多个国内重大活动的网络安全保障工作。在安全管控的过程中,该厂商发现客户软件系统往往存在以下问题。
1. 软件存在安全漏洞:客户的代码存在各种安全漏洞,如跨站脚本攻击(XSS)、SQL注入、权限不当等,给自身系统带来安全风险。
2. 软件上线面临安全挑战:如果安全缺陷在软件上线前才被发现,软件的发布预期可能被直接摧毁,导致研发团队面临极大的上线压力。
3. 安全经验少、漏洞定位难:大部分软件开发人员缺少安全知识和安全开发经验,难以快速定位代码中的安全问题。
升级安全能力,保障客户业务质量
如何才能解决软件研发产生的漏洞风险呢?该厂商引入开源网安代码审核工具(CodeSec),与自身安全技术相融合,升级并打造出全新安全解决方案,服务于多个重大网络安全保障项目,提升了客户的业务连续性与安全性。
1. 精准定位安全缺陷:CodeSec与安全工程师协同配合,逐条分析、排查系统代码,找出其中的薄弱环节,精准找出安全缺陷的坐标。同时,CodeSec还对软件系统进行回测,进一步降低漏报、误报。
2. 提前修复漏洞:在开发和测试的早期阶段使用CodeSec进行检测,并根据检测结果提供修复建议,在代码传递到开发周期的下一阶段前修复各种安全问题。
3. 提升安全意识与经验:在检测与修复漏洞的过程中,CodeSec帮助开发人员提升了安全意识,积累了安全经验,在后续开发的过程中更容易定位开发问题,提交更安全的代码。
未来,该厂商将基于网络安全方面的经验,结合具体需求,为企业提供更高质量的安全保障服务。开源网安也将在数字时代下不断优化安全能力,帮助安全企业与软件企业优化安全保障能力,共同为数字化建设提供安全力量。