360代码卫士代码安全保障系统白皮书.pdf

所需积分/C币:19 2017-09-22 16:48:05 1.09MB PDF

随着网络技术和应用的飞速发展,信息系统安全正面临着前所未有的挑战。网络化 和互联互通性已经成为当前软件和信息系统发展的大势所趋,信息系统与互联网或其他 网络的互连,也将导致系统受攻击面增大,使系统面临的安全威胁空前的增加。另一方 面,随着构建在信息系统之上的各种业务应用的不断丰富,软件和信息系统复杂程度的 不断提高,系统中隐藏的各种安全隐患也越来越多,并且通常难以被发现和消除。
企业安全 代码卫士技术白皮书 图索引 图代码卫上产品架构 图缺陷检测结果示意图 图缺陷统计报表示意图 图独立部署小意图 图与开发测试流程整合部署示意图 企业安全集团 密级;公开 企业安全 代码卫士技术白皮书 1引言 1背景 随着网络技术和应用的飞速发展,信息系统安全正面临着前所未有的挑战。网络化 和互联互通性已经成为当前软件和信息系统发展的大势所趋,信息系统与互联网或其他 网终的互连,也将导致系统受攻击面增大,使系统面临的安全威胁空前的增加。另一方 面,随着构建在信息系统之上的各种业务应用的不断丰富,软件和信息系统复杂程度的 不断提高,系统中隐臧的各种安全隐患也越来越多,并且通常难以被发现和消除。 近几年重大安全事件的频频发生,显示了当前信息系统安全形势的严峻性,仅仅依 靠传统的安全防护杋制来保障信息安全的做法已经逐渐力不从心。软件代码是构建系统 信息的基础组件,软件代码中安全漏洞和未声明功能(后门)的存在是安全事件频繁发 生的根源。忽视软件代码自身的安全性,仅仅依靠外围的防护、事后的修补等方法,舍 本逐末,必然事倍功半。只有通过管理和技术手段保障了软件代码自身的安全性,再辅 以各种安全防护手段,才是解决当前安全问题的根本解决之道。 1.2源代码安全现状 来自互联网安全中心的一组数据:软件开发通常会引入缺陷,普通软件工程师 的缺陷密度一般为 个缺陷 (缺陷千行源代码)。由于有严格的软件开发 质量管理机制和多重测试环节,成熟的软件公司的缺陷率要低得多,普通软件开发公司 的缺陷密度为~个缺陷;高水平的软件公司的缺陷密度为个缺陷 而美国 的软件缺陷密度可低至个缺陷 根据多年的源代码缺陷测试实践统计,国产软件平均的缺陷密度为个缺陷 ,假设的安仝缺陷是可被黑客恶意利用实施攻击的,则一个网银客户端大小 的软件将π能存在个可被利用的漏洞,由此可见国内源代码安全形势的严峻性。 企业安全集团 密级:公开 企业安全 代码卫士技术白皮书 1.2.1源代码检测产品国外品牌占据主流 目前市场上的源代码安全检测产品基本都是国外厂商生产,而软件源代码是组织机 构的核心机密,源代码安全检测产品部署到开发和测试网络中之后,是否会引入其他的 安全风险,如何保障源代码安全检测产品自身的安全可控,是很多组织尤其是重要信息 系统单位关心的核心问题之一。 2.2难与开发或测试流程融合 传统的软件开发和测试流程并未考虑源代码自身安全的需求,组织在已固化的流程 中应川源代码安全检测产品会逞到各种细节问题,如源代码安全检测产品难与代码管理 服务器进行融合、无法与已有的管理系统融合等,这些问题如果不能有效解决, 将会人大的增加组织开发和测试工作量,严重影响工作效率 1.2.3无法评估开源组件风险 开源组件存在的已知漏洞和授权协议会给软件带来风险,而个别研发人员为了贪图 方便,直接引用来白互联网的开源组件进行编码,这些开源组件往往已经存在漏洞,这 将降低开发软件的幣体安全性:另外开源组件一般都有相关使用授杖问题,直接引用这 些廾涼模块可能会给组织带来法律风险。 1.24个性化的需求支持不足 当前主流的商业源代码安全检测产品通常是根据通用需求开发,而很多组织由于各 自业务的不同,对源代码安全有很多个性化的需求,例如组织内部安全编码规范的自动 化合规检测等。目前的商业工具对这种个性化需求的支持不足,导致国内用户在应用源 代码安全检测产品时无法完全满足组织自身的需求 企业安全集团 密级:公开 企业安全 代码卫士技术白皮书 2新一代源代码安全检测系统 代码安全保障系统(以下简称“代码卫士”)专注于为组织提供一套源代码安 全分析解决方案,是企业安全集团面向源代码安全需求开发的基于软件安全开发生 命周期管理的新一代源代码安全检测系统。在不改变组织现有开发流程的前提下与组织 代码仓库如 管理系统(如 )无缝对接,实现开发过程中的源代码 缺陷管理及合规管理,以最小代价帮助组织实现源代码绞全目标设定、自动化检测、目 标差距分析、修复跟踪等功能,实现源代码安全的可视化管理 21产品架构 代码卫士核心部件由安全管理平台、各操作系统源代码分析引擎、缺陷知识库等组 成,产品架构如图所示。 安全管理平台负责源代码分析任务的统一管理、代码分析引擎的调度、代码审计 报怗输岀,以及与代码版本管理系统、管理系统等的对接:代码分析引擎负责源代 码的安仝分析,由引擎代理、缺陷检测引擎、合规检测引擎组成,其中引擎代理负责与 安仝管理平台通信及引擎调度,缺陷检测引擎负责检査源代码安仝缺陷,合规检测引擎 负责检査源代码与安全规范的符合性,缺陷检测引擎与合规检测引擎可独立使用,也能 结合使用:缺陷知识库存储缺陷模式及缺陷分类、缺陷样本等基础数据信息 企业安全集团 密级:公开 企业安全 代码卫士技术白皮书 缺绉管理系统 缺陷知识库 Bugzilla/ QC/...) 缺陷检测引擎 代码卫士 Windows 安全管理平台 少1| Windows Agent 合规检测引擎 Windows server 2008/I1S/.Net) 任务管理 缺陷检测引擎 定时检测 Linux 代码审计 Linux Agent 合规检测引擎 报告输出 Linux 管理服务器软件包个 代码库 编译平台 (SVN/GIT/ 图2-1代码卫士产品架构 2.2产品功能 代码卫士专注于为组织提供整体的源代码安全凤险控制解决方案,帮助组织从源代 码级别控制和降低安全风险。本产品具有高可控性、髙性能、高适用性笭特点,可广泛 应用于政府单位、软件开发厂商、第三方测评机构、软件最终用户等多种组织机构 2.2.1源代码缺陷管理 代码卫上支持 等多种操作系统平台上软件源代码的缺陷检测 支持 等主流编程语言 可检测的缺陷种类包括缓冲区溢岀、注入、跨站脚本、代码质量、危险函数等 个大类,多个小类。 企业安全集团 密级:公开 企业安全 代码卫士技术白皮书 代码卫上源代码缺陷检测兼容以下个国际标准或规范: ):常见缺陷列表,是 公司继之 后的又一个安全漏洞词典。 为程序员和安全从业者提供∫一个有条理的软件缺陷 类型库。 旨在让人们更好地理解软件缺陷并创建能够识别、修复以及阻止此类缺 陷的自动化工具。 :开放式应用程序安全项目十大安全隐患列表,是 最 重要的项目之 不但总结了应用程序最可能、最常见、最危险的 十大安全隐患,还包括了如何消除这些隐患的建议。 种最危险的编 程错误,是 公司及美国和欧洲很多顶级软件安全专家共同合作的 成果。 可以帮助程序员编写更安全的代码,帮助用户衡量软件是否 安全。 2.2.2源代码合规管理 代码卫士支持主流国际标准和规范的代码合规检测,包括: 安全编程标准等, 同时提供方便的可扩展接口,可针对组织和行业特有的代码规范,定制开发自动化检测 规则,满足个性化的需求 2.2.3源代码溯源检测 代码卫士在公司现冇搜索引擎爬虫的基础上,建立了国内最大的开源代码库, 可自动检测软件中是否引用了开源代码模块,是否存在软件使用授权的冋题,帮助组织 规避廾源纠件的法律风险:同时,代码士还可检测软件中引用的廾源代码模块存在哪 些安全漏洞,最大程度降低开源代码引入的安全风险。解决传统源代码检测技术无法进 行溯源检测的问题。 2.2.4开发与测试流程整合 代码卫士在设计过程中充分考虑了组织在应用源代码安全检测产品过程中遇到的 各种实际问题,其基本理念是使组织以用最小的代价将源代码安全检测融入到已有开发 企业安全集团 密级:公开 企业安全 代码卫士技术白皮书 和测试流程中,并提供灵活的定制化接口,满足组织的个性化定制需求 可支持本地源代码检测,也可支持从等代码管理系统中获取源代码进行检测。 检测结果可与 等管理系统进行整合。 支持定时自动检测,用户可将代码卩十与代码库进行关联,配置好定时检测计划, 代码玊士将按照任务设置定期自动获取代码库中的源代码进行检测,最人限度的减少人 工干预的工作量。 支持主流商业检测工具的安全嵌入应用(如 ),支持历史检测结果的 导入及整合。 2.2.5报告与报表 代码卫上支持对源代码的不冋版本的检测结果进行比对分析,分析代码安全趋势, 使于管理者把握代码安全的整体情氿。 支持对比多个任务的缺陷密度、缺陷等级分布、缺陷类型分布等综合信息,以图形 化报表的方式展现对比结果。如图所示: 代码卫士 当的用户: admin subsafe侧测顶目置理揪告管理计分析统理 列要距分析 当前项目召; teston 标分 沿检测日标M度不面于20个千行 违茶类22 无关型鲁持益控南禁类生★里程碑无禁美里★里程实有违理 2c1604114228 20165418142234 160418141836 图2-2缺陷检测结果示意图 检测报告根据用户角色分为开发人员报告与管理人员报告。管理人员报告主要包含 缺陷等级及缺陷类型等基本统计信息,开发人员报告包括基本统计信息和缺陷详细信息。 支持按缺陷等级、缺陷类型进行分类统计,提供 格式的检测报告,并 企业安全集团 密级:公开 企业安全 代码卫士技术白皮书 可提供个性化的报告定制。如图所示 缺陷总数 1758个 缺陷等级统计 缺陷分类统计 901 带H 图2-3缺陷统计报表示意图 2.3产品特点 2.3.1与开发和测试流程的无缝整合 支持本地的代码检测,支持等代码库的源代码检测。 检测结果与管理系统融合,检测结果可导入至管理系统中。 不改变组织现有开发流程,插件式融入组织开发流程 2.3.2缺陷管理+合规管理 攴持代码缺陷检测,检查源代码中存在的安全缺陷。 支持源代码合规,检査源代码是否违背代码开发规范,约束开发者的开发行为。 23.3自动周期检测 ≯将代码土与代码库进行关联,配置好定时检测计划,系统能自动获取源代码进行 定时周期性检测 2.3.4缺陷趋势分析 对源代码的不同版本的检测结果进行比对分析,分析代码安全趋势。 企业安全集团 密级:公开

...展开详情
试读 27P 360代码卫士代码安全保障系统白皮书.pdf
img
liuranmohan

关注 私信 TA的资源

上传资源赚积分,得勋章
    最新推荐
    360代码卫士代码安全保障系统白皮书.pdf 19积分/C币 立即下载
    1/27
    360代码卫士代码安全保障系统白皮书.pdf第1页
    360代码卫士代码安全保障系统白皮书.pdf第2页
    360代码卫士代码安全保障系统白皮书.pdf第3页
    360代码卫士代码安全保障系统白皮书.pdf第4页
    360代码卫士代码安全保障系统白皮书.pdf第5页
    360代码卫士代码安全保障系统白皮书.pdf第6页
    360代码卫士代码安全保障系统白皮书.pdf第7页
    360代码卫士代码安全保障系统白皮书.pdf第8页
    360代码卫士代码安全保障系统白皮书.pdf第9页

    试读已结束,剩余18页未读...

    19积分/C币 立即下载 >