某头部安全厂商:源代码审计推动安全能力再升级,保障重大项目网络安全

2023-10-18 17:41

某信息安全厂商是国内领先的安全企业,在多个领域的基于先进计算的案例应用量位于全国前列,部分核心关键技术实现了重要突破。该厂商以强大的技术实力推动轨道交通智能制造、电子政务智能服务、健康保障医疗等多个行业的数字化发展。


多次参与重大安全保障工作,敏锐发觉安全缺陷

多年来,该厂商参与护网行动、奥运会安全保障服务、全国两会活动、第三届世界互联网大会等多个国内重大活动的网络安全保障工作。在安全管控的过程中,该厂商发现客户软件系统往往存在以下问题。

1. 软件存在安全漏洞客户的代码存在各种安全漏洞,如跨站脚本攻击(XSS)、SQL注入、权限不当等,给自身系统带来安全风险。

2. 软件上线面临安全挑战如果安全缺陷在软件上线前才被发现,软件的发布预期可能被直接摧毁,导致研发团队面临极大的上线压力。

3. 安全经验少、漏洞定位难大部分软件开发人员缺少安全知识和安全开发经验,难以快速定位代码中的安全问题。



升级安全能力,保障客户业务质量

如何才能解决软件研发产生的漏洞风险呢?该厂商引入开源网安代码审核工具(CodeSec),与自身安全技术相融合,升级并打造出全新安全解决方案,服务于多个重大网络安全保障项目,提升了客户的业务连续性与安全性。


1. 精准定位安全缺陷CodeSec与安全工程师协同配合,逐条分析、排查系统代码,找出其中的薄弱环节,精准找出安全缺陷的坐标。同时,CodeSec还对软件系统进行回测,进一步降低漏报、误报。

2. 提前修复漏洞在开发和测试的早期阶段使用CodeSec进行检测,并根据检测结果提供修复建议,在代码传递到开发周期的下一阶段前修复各种安全问题。

3. 提升安全意识与经验在检测与修复漏洞的过程中,CodeSec帮助开发人员提升了安全意识,积累了安全经验,在后续开发的过程中更容易定位开发问题,提交更安全的代码。


未来,该厂商将基于网络安全方面的经验,结合具体需求,为企业提供更高质量的安全保障服务。开源网安也将在数字时代下不断优化安全能力,帮助安全企业与软件企业优化安全保障能力,共同为数字化建设提供安全力量。