源代碼安全風(fēng)險(xiǎn)評(píng)估服務(wù)介紹_第1頁(yè)
源代碼安全風(fēng)險(xiǎn)評(píng)估服務(wù)介紹_第2頁(yè)
源代碼安全風(fēng)險(xiǎn)評(píng)估服務(wù)介紹_第3頁(yè)
源代碼安全風(fēng)險(xiǎn)評(píng)估服務(wù)介紹_第4頁(yè)
源代碼安全風(fēng)險(xiǎn)評(píng)估服務(wù)介紹_第5頁(yè)
已閱讀5頁(yè),還剩1頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、源代碼安全風(fēng)險(xiǎn)評(píng)估服務(wù)服務(wù)背景 軟件源代碼的安全性越來(lái)越重要,黑客越來(lái)越趨向利用軟件代碼的安全漏洞攻擊系統(tǒng),幾乎75%的黑客攻擊事件與軟件代碼安全相關(guān)。為了加強(qiáng)軟件源代碼的安全性,由內(nèi)而外解決企業(yè)面臨的代碼安全挑戰(zhàn)。神州數(shù)碼聯(lián)合業(yè)界代碼安全風(fēng)險(xiǎn)評(píng)估產(chǎn)品(以色列:Checkmarx),幫助軟件企業(yè)和項(xiàng)目降低軟件安全風(fēng)險(xiǎn),提高軟件代碼的安全性,提供靈活方便的源代碼安全風(fēng)險(xiǎn)評(píng)估服務(wù).本服務(wù)主要幫助企業(yè)查找和分析已有的軟件源代碼,識(shí)別其安全風(fēng)險(xiǎn),并提供詳細(xì)的分析和修復(fù)建議,幫助企業(yè)盡快盡早修復(fù)軟件代碼的安全缺陷,保障系統(tǒng)的安全性,從而保護(hù)企業(yè)核心軟件的安全性,保護(hù)企業(yè)信息系統(tǒng)資產(chǎn)及正常的信息化服務(wù).C

2、heckmarx成立于 2006年, 其發(fā)展愿景是為自動(dòng)安全代碼審核提供綜合解決方案。該公司開(kāi)創(chuàng)了基于查詢語(yǔ)言的用于跟蹤技術(shù)和邏輯代碼漏洞的解決方案理念。 Checkmarx一直被高德納咨詢公司認(rèn)定為其最新靜態(tài)應(yīng)用程序安全性測(cè)試(SAST)Magic Quadrant中的唯一概念設(shè)計(jì)商和2010應(yīng)用軟件安全的“優(yōu)秀”銷(xiāo)售商。成功案例:世界范圍客戶:全美銀行、Salsforce.Com公司、新聞集團(tuán)、道瓊斯公司、雅高酒店及里德愛(ài)思唯爾集團(tuán)中國(guó)區(qū)客戶:國(guó)家電網(wǎng) 、上海軟件測(cè)試中心、北京大學(xué)、北京信息安全測(cè)試與評(píng)估中心、信息技術(shù)安全國(guó)家研究中心 (NRCITS)、計(jì)算機(jī)軟件技術(shù)上海開(kāi)發(fā)中心

3、、清華大學(xué)服務(wù)概述 軟件源代碼是軟件需求、設(shè)計(jì)和實(shí)現(xiàn)的最終載體,源代碼安全風(fēng)險(xiǎn)評(píng)估發(fā)現(xiàn)代碼構(gòu)造期間引入實(shí)現(xiàn)級(jí)別的安全漏洞,并為這些編碼錯(cuò)誤建議補(bǔ)救措施。源代碼安全風(fēng)險(xiǎn)評(píng)估對(duì)現(xiàn)有代碼庫(kù)進(jìn)行分析,并對(duì)導(dǎo)致安全漏洞的代碼構(gòu)造進(jìn)行定位。包括但不限于OWASP Top 10、PCI 、CWE、CVE、SANS20、SOX 等國(guó)際權(quán)威組織公布的軟件安全漏洞。(OWASP Top 10主要的安全漏洞枚舉) 我們的專業(yè)安全團(tuán)隊(duì)將靜態(tài)分析工具和專家手動(dòng)審查相結(jié)合來(lái)盡可能揭示所有的可能存在的安全漏洞。支持源代碼安全風(fēng)險(xiǎn)評(píng)估的語(yǔ)言 Java、JSP、JavaSript、 VBSript、C# 、 ASP.net 、

4、VB.Net、 VB6、 C/C+ 、ASP 、 PHP, Ruby、Android 、APEX (AppExchange platform)、API to 3rd party languages 使用的工具 以色列優(yōu)秀的靜態(tài)源代碼安全風(fēng)險(xiǎn)評(píng)估工具-Checkmarx CxEnterprise分析的流程運(yùn)用三步走的方法來(lái)執(zhí)行源代碼安全風(fēng)險(xiǎn)評(píng)估:u 確定源代碼安全風(fēng)險(xiǎn)評(píng)估的審查目標(biāo)u 使用Checkmarx CxEnterprise 執(zhí)行初步掃描并分析安全問(wèn)題結(jié)果u 審查應(yīng)用程序的架構(gòu)所特有的代碼安全問(wèn)題在第一步中,我們使用威脅建模(如果可用)的結(jié)果以及對(duì)用于構(gòu)建該應(yīng)用的架構(gòu)和技術(shù)的理解,其目標(biāo)

5、就是尋求一系列的安全漏洞的風(fēng)險(xiǎn)表現(xiàn)形式。在初步檢查過(guò)程中,我們將結(jié)合靜態(tài)分析和輕量級(jí)的人工審查來(lái)確定代碼中關(guān)鍵點(diǎn)-很可能包含了更多漏洞的地方,初始掃描使我們能夠優(yōu)先考慮風(fēng)險(xiǎn)最高的區(qū)域。 在審查主要代碼過(guò)程中,我們的源代碼安全分析人員對(duì)代碼進(jìn)行徹底審查來(lái)尋找常見(jiàn)安全問(wèn)題,比如大家熟悉的緩沖區(qū)溢出、跨站點(diǎn)腳本,SQL注入等。最終審查用于調(diào)查本應(yīng)用程序架構(gòu)所特有的問(wèn)題,一般表現(xiàn)為威脅建?;虬踩卣髦谐霈F(xiàn)的威脅,如自定義身份驗(yàn)證或授權(quán)程序等。可交付材料源代碼安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)文檔描述了這些內(nèi)容:l 針對(duì)對(duì)黑客感興趣的資產(chǎn)、代碼實(shí)現(xiàn)上的錯(cuò)誤,這些錯(cuò)誤將危及這些資產(chǎn)的安全,以及在使用的技術(shù)和編程語(yǔ)言中常見(jiàn)

6、錯(cuò)誤;l 針對(duì)每一個(gè)已經(jīng)識(shí)別漏洞的報(bào)告,包括所發(fā)現(xiàn)漏洞的概述、影響和嚴(yán)重性以及再現(xiàn)該漏洞的步驟和可用于修復(fù)該漏洞缺限的補(bǔ)救措施建議;l 最終源代碼安全風(fēng)險(xiǎn)評(píng)估報(bào)告詳細(xì)說(shuō)明本次風(fēng)險(xiǎn)評(píng)估結(jié)果、成果和整體印象、審查期間發(fā)現(xiàn)的問(wèn)題、進(jìn)行額外審查的建議,以及針對(duì)已確定漏洞進(jìn)行補(bǔ)救的建議。服務(wù)的方式:A.客戶現(xiàn)場(chǎng)服務(wù) 神州信息服務(wù)工程師將產(chǎn)品安裝客戶服務(wù)器上,并派技術(shù)人員在客戶的應(yīng)用程序中執(zhí)行代碼安全風(fēng)險(xiǎn)評(píng)估 服務(wù)名稱服務(wù)期限服務(wù)描述 服務(wù)費(fèi)用備注現(xiàn)場(chǎng)源代碼安全掃描服務(wù)15天Checkmarx源代碼安全產(chǎn)品可以被使用兩周,在一個(gè)項(xiàng)目上執(zhí)行多次掃描12萬(wàn)技術(shù)人員現(xiàn)場(chǎng)安裝產(chǎn)品并輔助器分析代碼安全漏洞,撰寫(xiě)風(fēng)險(xiǎn)

7、評(píng)估報(bào)告30天Checkmarx源代碼安全產(chǎn)品可以被使用30天,在多個(gè)項(xiàng)目上執(zhí)行多次掃描,不限制項(xiàng)目數(shù)量20萬(wàn)技術(shù)人員現(xiàn)場(chǎng)安裝產(chǎn)品并輔助器分析代碼安全漏洞,撰寫(xiě)風(fēng)險(xiǎn)評(píng)估報(bào)告一年Checkmarx源代碼安全產(chǎn)品可以被使用1年,在多個(gè)項(xiàng)目上執(zhí)行多次掃描,不限制項(xiàng)目數(shù)量30萬(wàn)技術(shù)人員現(xiàn)場(chǎng)安裝產(chǎn)品,并在必要時(shí)提供該產(chǎn)品的使用過(guò)程中的技術(shù)支持和相關(guān)問(wèn)題的答疑和咨詢。B.云服務(wù) 神州信息服務(wù)SBU在技術(shù)服務(wù)中心部署一臺(tái)基于云服務(wù)的代碼安全掃描服務(wù)器,客戶通過(guò)internet網(wǎng)絡(luò)使用授權(quán)帳號(hào)使用代碼安全掃描服務(wù)。 (后臺(tái)部署中,具體開(kāi)通時(shí)間待定)服務(wù)名稱服務(wù)期限服務(wù)描述 服務(wù)費(fèi)用備注網(wǎng)絡(luò)掃描服務(wù):?jiǎn)蝹€(gè)用戶賬

8、號(hào)租用15天Checkmarx源代碼安全掃描賬號(hào)可以被使用兩周,在一個(gè)項(xiàng)目上執(zhí)行多次掃描5萬(wàn)客戶使用神州信息服務(wù)伙伴提供的網(wǎng)絡(luò)賬戶,通過(guò)internet直接掃描源代碼,并在線分析企掃描結(jié)果和代碼安全漏洞,神州數(shù)碼提供電話和email技術(shù)支持。 30天 Checkmarx源代碼安全掃描賬號(hào)可以被使用30天,在多個(gè)項(xiàng)目上執(zhí)行多次掃描,不限制項(xiàng)目數(shù)量8萬(wàn)客戶使用神州信息服務(wù)伙伴提供的網(wǎng)絡(luò)賬戶,通過(guò)internet直接掃描源代碼,并在線分析企掃描結(jié)果和代碼安全漏洞,神州數(shù)碼提供電話和email技術(shù)支持。一年Checkmarx源代碼安全產(chǎn)品可以被使用1年,在多個(gè)項(xiàng)目上執(zhí)行多次掃描,不限制項(xiàng)目數(shù)量18萬(wàn)客戶使用神州信息服務(wù)伙伴提供的網(wǎng)絡(luò)賬戶,通過(guò)internet直接掃描源代碼,并在線分析企掃描結(jié)果和代碼安全漏洞,神州數(shù)碼提供電話和email技術(shù)支持。目標(biāo)客戶: 宏觀 所有具有軟件開(kāi)發(fā)或者軟件外包開(kāi)發(fā)的企業(yè)、組織和團(tuán)隊(duì)。 現(xiàn)實(shí)的客戶: 公司開(kāi)發(fā)團(tuán)隊(duì)規(guī)模較大,行業(yè)安全風(fēng)險(xiǎn)意識(shí)強(qiáng)(錢(qián)多聚集的公司),公司業(yè)績(jī)處在發(fā)展階段或者穩(wěn)定階段的金融、保險(xiǎn)、電信、醫(yī)療、國(guó)家科研

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔