什么是代碼審計���?
代碼審計顧名思義就是檢查源代碼中的安全缺陷,檢查程序源代碼是否存在安全隱患,或者有編碼不規(guī)范的地方���,通過自動化工具或者人工審查的方式,對程序源代碼逐條進(jìn)行檢查和分析�����,發(fā)現(xiàn)這些源代碼缺陷引發(fā)的安全漏洞���,并提供代碼修訂措施和建議�。
代碼審計(Code audit)是一種以發(fā)現(xiàn)程序錯誤�����,安全漏洞和違反程序規(guī)范為目標(biāo)的源代碼分析���。軟件代碼審計是對編程項目中源代碼的分析���,旨在發(fā)現(xiàn)錯誤���,安全漏洞或違反編程約定。 它是防御性編程范例的一個組成部分�,它試圖在軟件發(fā)布之前減少錯誤。 C和C 源代碼是常見的審計代碼�����,因為許多語言(如Python)具有較少的潛在易受攻擊的功能(例如�,不檢查邊界的函數(shù))。
商業(yè)化源代碼審計工具對比
近年來���,大部分安全問題來自于應(yīng)用層安全�����,應(yīng)用層的安全問題主要由軟件源代碼中的安全缺陷所導(dǎo)致���。有關(guān)源代碼安全的研究越來越多���,源代碼安全成為了解決信息安全問題的一個重要方向���,也是信息安全中的一個新興領(lǐng)域�。
在開發(fā)階段引入代碼檢測解決安全問題的思路開始被很多企業(yè)所認(rèn)可�。源代碼檢測屬于程序分析領(lǐng)域,需要具有相關(guān)領(lǐng)域的技術(shù)儲備�����,很多傳統(tǒng)的安全廠商都沒有相關(guān)的商業(yè)化技術(shù)產(chǎn)品�。網(wǎng)上有很多開源的審計工具,但檢測能力���、檢測精度較差���,本文結(jié)合多年對源代碼檢測產(chǎn)品的了解,介紹三款較為成熟的商業(yè)化源代碼檢測產(chǎn)品���。
Fortify Software公司是一家總部位于美國硅谷�����,致力于提供應(yīng)用軟件安全開發(fā)工具和管理方案的廠商�。Fortify為應(yīng)用軟件開發(fā)組織、安全審計人員和應(yīng)用安全管理人員提供工具并確立佳的應(yīng)用軟件安全實踐和策略�,幫助他們在軟件開發(fā)生命周期中花少的時間和成本去識別和修復(fù)軟件源代碼中的安全隱患。
Checkmarx 是以色列的一家高科技軟件公司���。它的產(chǎn)品CheckmarxCxSuite專門設(shè)計為識別���、跟蹤和修復(fù)軟件源代碼上的技術(shù)和邏輯方面的安全風(fēng)險。了以查詢語言定位代碼安全問題���,其采用的詞匯分析技術(shù)和CxQL查詢技術(shù)來掃描和分析源代碼中的安全漏洞和弱點�����。
360代碼衛(wèi)士是360企業(yè)安全集團(tuán)基于多年源代碼安全實踐經(jīng)驗推出的新一代源代碼安全檢測解決方案�����,包括源代碼缺陷檢測���、合規(guī)檢測、溯源檢測三大檢測功能�,同時360代碼衛(wèi)士還可實現(xiàn)軟件安全開發(fā)生命周期管理,與企業(yè)已有代碼版本管理系統(tǒng)�、缺陷管理系統(tǒng)���、構(gòu)建工具等無縫對接�����,將源代碼檢測融入企業(yè)開發(fā)流程�����,實現(xiàn)軟件源代碼安全目標(biāo)管理�����、自動化檢測���、差距分析���、Bug修復(fù)等功能,幫助企業(yè)以小代價建立代碼安全保障體系并落地實施�,構(gòu)筑信息系統(tǒng)的“內(nèi)建安全”。
金融行業(yè)用戶源代碼安全審計服務(wù)
案例背景
某銀行內(nèi)部軟件多數(shù)由外包公司開發(fā)�,存在開發(fā)人員水平參次不齊,安全意識薄弱���,軟件安全方面投入不足等問題���,以及該銀行相對單一的安全測試方法和管理人員缺乏對軟件安全等級的驗證能力���,因此在程序源碼層面依舊存在大量安全問題。
針對用戶需求�����,通過源代碼安全審計服務(wù)�����,挖掘應(yīng)用系統(tǒng)隱蔽漏洞�,并提出解決方案,以保證用戶系統(tǒng)安全���。
服務(wù)流程
對用戶實施的源代碼安全審計服務(wù)流程分為準(zhǔn)備階段���、熟悉階段、分析審核階段和總結(jié)報告階段���。
?準(zhǔn)備階段
簽署保密協(xié)議�����、調(diào)研基本情況�、熟悉代碼和搭建審計環(huán)境。
?熟悉階段
熟悉系統(tǒng)整體架構(gòu)和各個業(yè)務(wù)流程等���。
?分析審核階段
工具輔助檢測、人工分析�、靜態(tài)分析、動態(tài)分析�、綜合分析和人工驗證。
?總結(jié)報告階段
發(fā)現(xiàn)并確認(rèn)風(fēng)險后���,對風(fēng)險進(jìn)行分析和編寫代碼審計報告�����,包括漏洞名稱�、漏洞級別���、漏洞數(shù)量�、問題文件、審計過程���、風(fēng)險分析和修復(fù)建議�����。
代碼審計的應(yīng)用
源代碼作為企業(yè)核心商業(yè)�����,受到了高度重視和保護(hù)���。然而由于其自身存在的安全缺陷、軟件缺乏安全設(shè)計�、不良的編程習(xí)慣等因素,使得注入�����、敏感信息泄露�、命令執(zhí)行等風(fēng)險漏洞頻頻發(fā)生,給金融行業(yè)造成重大損失�。因此,對源代碼進(jìn)行安全審計�、提前發(fā)現(xiàn)系統(tǒng)漏洞�����、找出應(yīng)用系統(tǒng)潛在風(fēng)險���、給出相應(yīng)安全報告和修復(fù)方法成為提升用戶應(yīng)用系統(tǒng)安全性、保障軟件源代碼�����、設(shè)計�����、開發(fā)和應(yīng)用的重要手段���。
多年來持續(xù)深耕金融行業(yè),始終為廣大金融行業(yè)用戶提供高質(zhì)量的產(chǎn)品和服務(wù)�����,源代碼安全審計服務(wù)作為專項技術(shù)檢測服務(wù)的重點內(nèi)容���,已在諸多金融行業(yè)項目中得到實踐運(yùn)用�����,獲得用戶一致認(rèn)可���。
您好,歡迎來到易龍商務(wù)網(wǎng)!
發(fā)布時間:2021-09-08 09:14
