首頁>電子書>安全與解密>360代碼衛士代碼安全保障系統白皮書.pdf-Web開發文檔類資源

360代碼衛士代碼安全保障系統白皮書.pdf-Web開發文檔類資源

robot  在  2020-02-09 21:45:11  上傳  1.09 MB 360代碼衛士

隨著網絡技術和應用的飛速發展,信息系統安全正面臨著前所未有的挑戰。網絡化
和互聯互通性已經成為當前軟件和信息系統發展的大勢所趨,信息系統與互聯網或其他
網絡的互連,也將導致系統受攻擊面增大,使系統面臨的安全威脅空前的增加。另一方
面,隨著構建在信息系統之上的各種業務應用的不斷豐富,軟件和信息系統復雜程度的
不斷提高,系統中隱藏的各種安全隱患也越來越多,并且通常難以被發現和消除。
企業安全
代碼衛士技術白皮書
圖索引
圖代碼衛上產品架構
圖缺陷檢測結果示意圖
圖缺陷統計報表示意圖
圖獨立部署小意圖
圖與開發測試流程整合部署示意圖
企業安全集團
密級;公開

企業安全
代碼衛士技術白皮書
1引言
1背景
隨著網絡技術和應用的飛速發展,信息系統安全正面臨著前所未有的挑戰。網絡化
和互聯互通性已經成為當前軟件和信息系統發展的大勢所趨,信息系統與互聯網或其他
網終的互連,也將導致系統受攻擊面增大,使系統面臨的安全威脅空前的增加。另一方
面,隨著構建在信息系統之上的各種業務應用的不斷豐富,軟件和信息系統復雜程度的
不斷提高,系統中隱臧的各種安全隱患也越來越多,并且通常難以被發現和消除。
近幾年重大安全事件的頻頻發生,顯示了當前信息系統安全形勢的嚴峻性,僅僅依
靠傳統的安全防護杋制來保障信息安全的做法已經逐漸力不從心。軟件代碼是構建系統
信息的基礎組件,軟件代碼中安全漏洞和未聲明功能(后門)的存在是安全事件頻繁發
生的根源。忽視軟件代碼自身的安全性,僅僅依靠外圍的防護、事后的修補等方法,舍
本逐末,必然事倍功半。只有通過管理和技術手段保障了軟件代碼自身的安全性,再輔
以各種安全防護手段,才是解決當前安全問題的根本解決之道。
1.2源代碼安全現狀
來自互聯網安全中心的一組數據:軟件開發通常會引入缺陷,普通軟件工程師
的缺陷密度一般為
個缺陷
(缺陷千行源代碼)。由于有嚴格的軟件開發
質量管理機制和多重測試環節,成熟的軟件公司的缺陷率要低得多,普通軟件開發公司
的缺陷密度為~個缺陷;高水平的軟件公司的缺陷密度為個缺陷
而美國
的軟件缺陷密度可低至個缺陷
根據多年的源代碼缺陷測試實踐統計,國產軟件平均的缺陷密度為個缺陷
,假設的安仝缺陷是可被黑客惡意利用實施攻擊的,則一個網銀客戶端大小
的軟件將π能存在個可被利用的漏洞,由此可見國內源代碼安全形勢的嚴峻性。
企業安全集團
密級:公開

企業安全
代碼衛士技術白皮書
1.2.1源代碼檢測產品國外品牌占據主流
目前市場上的源代碼安全檢測產品基本都是國外廠商生產,而軟件源代碼是組織機
構的核心機密,源代碼安全檢測產品部署到開發和測試網絡中之后,是否會引入其他的
安全風險,如何保障源代碼安全檢測產品自身的安全可控,是很多組織尤其是重要信息
系統單位關心的核心問題之一。
2.2難與開發或測試流程融合
傳統的軟件開發和測試流程并未考慮源代碼自身安全的需求,組織在已固化的流程
中應川源代碼安全檢測產品會逞到各種細節問題,如源代碼安全檢測產品難與代碼管理
服務器進行融合、無法與已有的管理系統融合等,這些問題如果不能有效解決,
將會人大的增加組織開發和測試工作量,嚴重影響工作效率
1.2.3無法評估開源組件風險
開源組件存在的已知漏洞和授權協議會給軟件帶來風險,而個別研發人員為了貪圖
方便,直接引用來白互聯網的開源組件進行編碼,這些開源組件往往已經存在漏洞,這
將降低開發軟件的幣體安全性:另外開源組件一般都有相關使用授杖問題,直接引用這
些廾涼模塊可能會給組織帶來法律風險。
1.24個性化的需求支持不足
當前主流的商業源代碼安全檢測產品通常是根據通用需求開發,而很多組織由于各
自業務的不同,對源代碼安全有很多個性化的需求,例如組織內部安全編碼規范的自動
化合規檢測等。目前的商業工具對這種個性化需求的支持不足,導致國內用戶在應用源
代碼安全檢測產品時無法完全滿足組織自身的需求
企業安全集團
密級:公開

企業安全
代碼衛士技術白皮書
2新一代源代碼安全檢測系統
代碼安全保障系統(以下簡稱“代碼衛士”)專注于為組織提供一套源代碼安
全分析解決方案,是企業安全集團面向源代碼安全需求開發的基于軟件安全開發生
命周期管理的新一代源代碼安全檢測系統。在不改變組織現有開發流程的前提下與組織
代碼倉庫如
管理系統(如
)無縫對接,實現開發過程中的源代碼
缺陷管理及合規管理,以最小代價幫助組織實現源代碼絞全目標設定、自動化檢測、目
標差距分析、修復跟蹤等功能,實現源代碼安全的可視化管理
21產品架構
代碼衛士核心部件由安全管理平臺、各操作系統源代碼分析引擎、缺陷知識庫等組
成,產品架構如圖所示。
安全管理平臺負責源代碼分析任務的統一管理、代碼分析引擎的調度、代碼審計
報怗輸岀,以及與代碼版本管理系統、管理系統等的對接:代碼分析引擎負責源代
碼的安仝分析,由引擎代理、缺陷檢測引擎、合規檢測引擎組成,其中引擎代理負責與
安仝管理平臺通信及引擎調度,缺陷檢測引擎負責檢査源代碼安仝缺陷,合規檢測引擎
負責檢査源代碼與安全規范的符合性,缺陷檢測引擎與合規檢測引擎可獨立使用,也能
結合使用:缺陷知識庫存儲缺陷模式及缺陷分類、缺陷樣本等基礎數據信息
企業安全集團
密級:公開

企業安全
代碼衛士技術白皮書
缺縐管理系統
缺陷知識庫
Bugzilla/ QC/...)
缺陷檢測引擎
代碼衛士
Windows
安全管理平臺
少1| Windows Agent
合規檢測引擎
Windows server
2008/I1S/.Net)
任務管理
缺陷檢測引擎
定時檢測
Linux
代碼審計
Linux Agent
合規檢測引擎
報告輸出
Linux
管理服務器軟件包個
代碼庫
編譯平臺
(SVN/GIT/
圖2-1代碼衛士產品架構
2.2產品功能
代碼衛士專注于為組織提供整體的源代碼安全鳳險控制解決方案,幫助組織從源代
碼級別控制和降低安全風險。本產品具有高可控性、髙性能、高適用性笭特點,可廣泛
應用于政府單位、軟件開發廠商、第三方測評機構、軟件最終用戶等多種組織機構
2.2.1源代碼缺陷管理
代碼衛上支持
等多種操作系統平臺上軟件源代碼的缺陷檢測
支持
等主流編程語言
可檢測的缺陷種類包括緩沖區溢岀、注入、跨站腳本、代碼質量、危險函數等
個大類,多個小類。
企業安全集團
密級:公開

企業安全
代碼衛士技術白皮書
代碼衛上源代碼缺陷檢測兼容以下個國際標準或規范:
):常見缺陷列表,是
公司繼之
后的又一個安全漏洞詞典。
為程序員和安全從業者提供∫一個有條理的軟件缺陷
類型庫。
旨在讓人們更好地理解軟件缺陷并創建能夠識別、修復以及阻止此類缺
陷的自動化工具。
:開放式應用程序安全項目十大安全隱患列表,是

重要的項目之
不但總結了應用程序最可能、最常見、最危險的
十大安全隱患,還包括了如何消除這些隱患的建議。
種最危險的編
程錯誤,是
公司及美國和歐洲很多頂級軟件安全專家共同合作的
成果。
可以幫助程序員編寫更安全的代碼,幫助用戶衡量軟件是否
安全。
2.2.2源代碼合規管理
代碼衛士支持主流國際標準和規范的代碼合規檢測,包括:
安全編程標準等,
同時提供方便的可擴展接口,可針對組織和行業特有的代碼規范,定制開發自動化檢測
規則,滿足個性化的需求
2.2.3源代碼溯源檢測
代碼衛士在公司現冇搜索引擎爬蟲的基礎上,建立了國內最大的開源代碼庫,
可自動檢測軟件中是否引用了開源代碼模塊,是否存在軟件使用授權的冋題,幫助組織
規避廾源糾件的法律風險:同時,代碼士還可檢測軟件中引用的廾源代碼模塊存在哪
些安全漏洞,最大程度降低開源代碼引入的安全風險。解決傳統源代碼檢測技術無法進
行溯源檢測的問題。
2.2.4開發與測試流程整合
代碼衛士在設計過程中充分考慮了組織在應用源代碼安全檢測產品過程中遇到的
各種實際問題,其基本理念是使組織以用最小的代價將源代碼安全檢測融入到已有開發
企業安全集團
密級:公開

企業安全
代碼衛士技術白皮書
和測試流程中,并提供靈活的定制化接口,滿足組織的個性化定制需求
可支持本地源代碼檢測,也可支持從等代碼管理系統中獲取源代碼進行檢測。
檢測結果可與
等管理系統進行整合。
支持定時自動檢測,用戶可將代碼卩十與代碼庫進行關聯,配置好定時檢測計劃,
代碼玊士將按照任務設置定期自動獲取代碼庫中的源代碼進行檢測,最人限度的減少人
工干預的工作量。
支持主流商業檢測工具的安全嵌入應用(如
),支持歷史檢測結果的
導入及整合。
2.2.5報告與報表
代碼衛上支持對源代碼的不冋版本的檢測結果進行比對分析,分析代碼安全趨勢,
使于管理者把握代碼安全的整體情氿。
支持對比多個任務的缺陷密度、缺陷等級分布、缺陷類型分布等綜合信息,以圖形
化報表的方式展現對比結果。如圖所示:
代碼衛士
當的用戶: admin
subsafe側測頂目置理揪告管理計分析統理
列要距分析
當前項目召; teston
標分
沿檢測日標M度不面于20個千行
違茶類22
無關型魯持益控南禁類生★里程碑無禁美里★里程實有違理
2c1604114228
20165418142234
160418141836
圖2-2缺陷檢測結果示意圖
檢測報告根據用戶角色分為開發人員報告與管理人員報告。管理人員報告主要包含
缺陷等級及缺陷類型等基本統計信息,開發人員報告包括基本統計信息和缺陷詳細信息。
支持按缺陷等級、缺陷類型進行分類統計,提供
格式的檢測報告,并
企業安全集團
密級:公開

企業安全
代碼衛士技術白皮書
可提供個性化的報告定制。如圖所示
缺陷總數
1758個
缺陷等級統計
缺陷分類統計
901
帶H
圖2-3缺陷統計報表示意圖
2.3產品特點
2.3.1與開發和測試流程的無縫整合
支持本地的代碼檢測,支持等代碼庫的源代碼檢測。
檢測結果與管理系統融合,檢測結果可導入至管理系統中。
不改變組織現有開發流程,插件式融入組織開發流程
2.3.2缺陷管理+合規管理
攴持代碼缺陷檢測,檢查源代碼中存在的安全缺陷。
支持源代碼合規,檢査源代碼是否違背代碼開發規范,約束開發者的開發行為。
23.3自動周期檢測
≯將代碼土與代碼庫進行關聯,配置好定時檢測計劃,系統能自動獲取源代碼進行
定時周期性檢測
2.3.4缺陷趨勢分析
對源代碼的不同版本的檢測結果進行比對分析,分析代碼安全趨勢。
企業安全集團
密級:公開

VIP任性下載 普通下載
意見反饋 聯系客服 返回頂部

登錄注冊

充值賬單

*掃碼按套餐金額一次性付款立即點擊“確認”按鈕

*充值提示成功,請重新登錄賬戶生效

*一份支持,十分動力

*充值有疑問請及時聯系客服QQ 421644184 處理

*請務必用chrome瀏覽器訪問本站,禁用360瀏覽器

啥都沒有哦
在線咨詢 x
如果您有任何疑問
點擊咨詢
排列三试机号p3试机号查询