源代码安全风险评估服务介绍.docx

《源代码安全风险评估服务介绍.docx》由会员分享，可在线阅读，更多相关《源代码安全风险评估服务介绍.docx（7页珍藏版）》请在第一文库网上搜索。

1、源代码平安风险评估服务服务背景软件源代码的平安性越来越重要，黑客越来越趋向采用软件代码的平安漏洞攻击系统，几乎75%的黑客攻击大事与软件代码平安相关。为了加强软件源代码的平安性，由内而外解决企业面临的代码平安挑战。神州数码联合业界代码平安风险评估产品（以色列：Checkmarx）,关心软件企业和项目降低软件平安风险,提高软件代码的平安性，供应敏捷便利的源代码平安风险评估服务.本服务主要关心企业查找和分析已有的软件源代码，识别其平安风险，并供应具体的分析和修复建议,关心企业尽快尽早修复软件代码的平安缺陷,保障系统的平安性,从而爱护企业核心软件的平安性,爱护企业信息系统资产及正常的信息化服务.Ch

2、eckmarx成立于2006年，其进展愿景是为自动平安代码审核供应综合解决方案。该公司开创了基于查询语言的用于跟踪技术和规律代码漏洞的解决方案理念。Checkmarx始终被高德纳询问公司认定为其最新静态应用程序平安性测试（SAST）Magic Quadrant中的唯一概念设计商和2022应用软件平安的“优秀”销售商。/胜利案例：世界范围客户：全美银行、Salsforce.Com公司、新闻集团、道琼斯公司、雅高酒店及里德爱思唯尔集团中国区客户：我国电网、上海软件测试中心、北京高校、北京信息平安测试与评估中心、信息技术平安我国讨论中心（NRQTS）、计算机软件技术上海开发中心、清华高校服务概述软件

3、源代码是软件需求、设计和实现的最终载体,源代码平安风险评估发觉代码构造期间引入实现级别的平安漏洞，并为这些编码错误建议补救措施。源代码平安风险评估对现有代码库进行分析，并对导致平安漏洞的代码构造进行定位。包括但不限于 OWASP Top 10、PCI、CWE、CVE、SANS20 SOX 等国际权威组织公布的软件平安漏洞。（OWASP Top 10主要的平安漏洞枚举）Al: Cross Site Scripting(XSS)Stored XSS5rteSSALCCGI Reflected XSS All ClientsCGI Stored XSSUTF7 XSSA2: Injection Fl

4、aw- Codejnjection- Command Injection- Connection Strino Injection- 京叙糜底毁- Resourceliection- Send Order SQL Iniection- SQL iniection- MhJz- Sorina ModeMew Infection- SQL Iniection Evasion Attack- Blind SQL Injections- Code Iniection (Java ScriptInjection Flaw)A3: Malicious File Excution- Hles.Manipul

5、ationA4: Insecure Direct Object Reference- DB Paramater Tamperin- Parameter TamoeringA5: :Cross Site Request Forgery(CSRF)- XSRF(Cross Se Request Forgery)- Potential XSRF A6: lnforamtion Leakage and Improper Error Handling) Hardded password in Connection String Verbose Error ReoortnqVAVWAAZAAV*VWV*

6、Hardcoded Password Password Misuse Hardcoded Connection Strin Pages Without Global Eor Handler A7: Broken Authentication and seesion Management Imorooer Session Management Personal Info In Cookie Session Poisonin Singleton H11 PServlet Cookie Poisoninq A8: Insecure Crytflrahjc Storage ts娟Qla膜J PvaVi

7、playpn A9: Insecure Communications Sockets in WebApp A10: Failure to Restric URL AccessWVVWVbVVV HttpS Dttin JavaScriot hjackin URL氐期面见独感k我们的专业平安团队将静态分析工具和专家手动审查相结合来尽可能揭示全部的可能存在的平安漏洞。支持源代码平安风险评估的语言- Java JSP、JavaSript VBSript C#、ASP. net、VB. Net VB6C/C+、ASP、PHP, Ruby Android、APEX (AppExchange platfo

8、rm) API to 3rd party languages使用的工具-以色列优秀的静态源代码平安风险评估工具-Checkmarx CxEnterprise分析的流程运用三步走的方法来执行源代码平安风险评估： 确定源代码平安风险评估的审查目标 使用Checkmarx CxEnterprise执行初步扫描并分析平安问题结果 审查应用程序的架构所特有的代码平安问题在第一步中，我们使用威逼建模（假如可用）的结果以及对用于构建该应用的架构和技术的理解，其目标就是寻求一系列的平安漏洞的风险表现形式。在初步检查过程中，我们将结合静态分析和轻量级的人工审查来确定代码中关键点-很可能包含了更多漏洞的地方，初始

9、扫描使我们能够优先考虑风险最高的区域。在审查主要代码过程中，我们的源代码平安分析人员对代码进行彻底审查来查找常见平安问题，比如大家熟识的缓冲区溢出、跨站点脚本，SQL注入等。最终审查用于调查本应用程序架构所特有的问题，一般表现为威逼建模或平安特征中消失的威逼，如自定义身份验证或授权程序等。可交付材料源代码平安风险评估的目标文档描述了这些内容： 针对对黑客感爱好的资产、代码实现上的错误，这些错误将危及这些资产的平安，以及在使用的技术和编程语言中常见错误； 针对每一个已经识别漏洞的报告，包括所发觉漏洞的概述、影响和严峻性以及再现该漏洞的步骤和可用于修复该漏洞缺限的补救措施建议； 最终源代码平安风险

10、评估报告具体说明本次风险评估结果、成果和整体印象、审查期间发觉的问题、进行额外审查的建议，以及针对已确定漏洞进行补救的建议。服务的方式:.客户现场服务神州信息服务工程师将产品安装客户服务器上，并派技术人员在客户的应用程序中执行代码平安风险评估服务名称服务期限服务描述服务费用备注现场源代码平安扫描服务15天Checkmarx 源代码平安产品可以被使用两周，在一个项目上执行多次扫描12万技术人员现场安装产品并帮助器分析代码平安漏洞，撰写风险评估报告30天Checkmarx 源代码平安产品可以被使用30天,在多个项目上执行多次扫描，不限制项H数量20万技术人员现场安装产品并帮助器分析代码平安漏洞，撰

11、写风险评估报告一年Checkmarx 源代码平安产品可以被使用1年，在多个项目上执行多次扫描，不限制项目数量30万技术人员现场安装产品，并在必要时供应该产品的使用过程中的技术支持和相关问题的解答和询问。B.云服务神州信息服务SBU在技术服务中心部署一台基于云服务的代码平安扫描服务器，客户通过internet网络使用授权帐号使用代码平安扫描服务。（后台部署中，具体开通时间待定）服务名称服务期限服务描述服务费用备注网络扫描服务：单个用户账号租用15天Checkmarx 源代码平安扫描账号可以被使用两周，在一个项目5万客户使用神州信息服务伙伴供应的网络账户，通过 internet 直上执行多次扫描接

12、扫描源代码，并在线分析企扫描结果和代码平安漏洞，神州数码供应电话和email技术支持。30天Checkmarx 源代码平安扫描账号可以被使用30天，在多个项目上执行多次扫描，不限制项目数量8万客户使用神州信息服务伙伴供应的网络账户，通过 internet 直接扫描源代码，并在线分析企扫描结果和代码平安漏洞，神州数码供应电话和email技术支持。一年Checkmarx 源代码平安产品可以被使用1年，在多个项目上执行多次扫描，不限制项目数量18万客户使用神州信息服务伙伴供应的网络账户，通过 internet 直接扫描源代码，并在线分析企扫描结果和代码平安漏洞,神州数码供应电话和email技术支持。目标客户：宏观全部具有软件开发或者软件外包开发的企业、组织和团队。现实的客户：公司开发团队规模较大，行业平安风险意识强（钱多聚集的公司），公司业绩处在进展阶段或者稳定阶段的金融、保险、电信、医疗、我国科研机构或者我国政府的重大项目，大、中、小型的软件开发企业。给客户带来的好处能快速关心客户定位代码级别的平安漏洞；能够关心企业快速评估系统代码平安风险；快速供应代码平安漏洞修复建议；指导和培训用户开发平安的软件；增加系统平安性，抵制黑客恶意攻击，爱护信息系统资产。