金融行業作為我國信息化前沿的核心行業,隨着互聯網快速發展,提供對外服務的業務系統逐步暴露在互聯網上,面臨的安全威脅風險空前增大;另外,隨着構建在信息系統之上的各種業務應用的不斷豐富,軟件和信息系統複雜程度的不斷提高,系統中隱藏漏洞或者後門的各種安全隱患也越來越多,並且通常難以被及時發現修復。
應用軟件源代碼是構建金融業務系統信息的基礎組件,軟件代碼中安全漏洞和未聲明功能(後門)的存在是安全事件頻繁發生的根源。忽視軟件代碼自身的安全性,僅僅依靠外圍的防護、事後的修補等方法,必然事倍功半,同時增加後期維護投入成本。
對源代碼安全根據《信息安全等級保護基本要求》以及《信息安全管理系統要求》的相關標準和要求“防範惡意代碼和移動代碼”應用軟件可能存在源代碼缺陷、軟件後門、不符合規範要求等,必須在開發和審計階段在上線前提供相應的源代碼審查。
主要解決源代碼如下可能存在安全風險痛點問題:
軟件外包開發以及自身研發的團隊對於應用軟件源代碼安全風險意識不足,在編寫代碼的時候對CWE、OWASPI等信息安全組織標識為嚴重軟件安全問題了解不足,容易導致應用系統存在如緩衝區溢出、SQL注入、跨站腳本、代碼質量、危險函數的軟件安全漏洞。
軟件外包開發以及自身研發的團隊為了趕開發進度時間要求,在開發時候直接引用開源代碼模塊,同時對開開源代碼模塊是否存在法律風險或者安全漏洞隱患的問題。
缺少完善的應用軟件安全的審計策略和措施,由於缺少應用軟件安全保護方面的意識以及重視不足,在對應用軟件的源代碼審計單採用人工的方式,在沒有自動化的工具檢測結果,效率低下,同時導致應用軟件很多漏洞未能被發現。
缺少代碼安全保障管理平台,不便於內部開發人員、審計人員、管理人員對應用軟件安全開發生命週期的安全風險收集、處理、分析、預測和評估,對業務系統源代碼檢查,安全合規管理要求準備不足或者缺乏控制措施。
奇安信代碼衞士專注於為金融組織提供一套源代碼安全分析解決方案,是奇安信公司面向源代碼安全需求開發的基於軟件安全開發生命週期管理的新一代源代碼安全檢測系統。在不改變組織現有開發流程的前提下,與組織代碼倉庫(如SVN)、Bug管理系統(如Bugzilla)無縫對接,實現開發過程中的源代碼缺陷管理、源代碼溯源檢測管理及合規管理,以最小代價幫助組織實現源代碼安全目標設定、自動化檢測、目標差距分析、Bug 修復跟蹤等功能,實現源代碼安全的可視化管理。
軟件源代碼是金融組織機構的核心機密,源代碼安全檢測產品部署到開發和測試網絡中之後,是否會引入其他的安全風險,如何保障源代碼安全檢測產品自身的安全可控,是組織機構關心的問題。代碼衞士是奇安信自主研發的國產源代碼安全檢測產品,解決方案符合國家信息安全產品“自主、可控”的原則。
圖:代碼衞士與開發測試流程整合平台
與開發和測試流程的無縫整合
支持本地的代碼檢測,支持SVN等代碼庫的源代碼檢測;檢測結果與Bug管理系統融合,檢測結果可導入至Bug管理系統中;
不改變組織現有開發流程,插件式融入組織開發流程。
缺陷管理+合規管理
支持代碼缺陷檢測,檢查源代碼中存在的安全缺陷;支持源代碼合規,檢查源代碼是否違背代碼開發規範,約束開發者的開發行為;
代碼衞士內置支持主流國際標準和規範的代碼合規檢測,包括:CERT安全編程標準、ISO/IEC TR 24772、MISRA C/C++等;
支持Windows、Linux、Android等多種操作系統平台上軟件源代碼的安全檢測;
支持C/C++/JAVA/C#/JSP/HTML/XML/JS/Python等主流編程語言。
自動週期檢測
將代碼衞士與代碼庫進行關聯,配置好定時檢測計劃,系統能自動獲取源代碼進行定時週期性檢測。缺陷趨勢分析
對源代碼的不同版本的檢測結果進行比對分析,分析代碼安全趨勢;
缺陷信息數據的深度挖掘,按時間、部門、缺陷等級、缺陷類別等多口徑挖掘數據並加以分析和結果展示。
缺陷知識反饋
結合內置經驗數據及用户審計數據,將不同引擎的檢測能力進行精確反饋,提高檢測的精度。靈活擴展性及個性化定製
支持檢測引擎的動態擴充,擴大檢測規模;支持代碼規範及檢測規則的定製;
支持報告格式的定製。
兼容性和統一管理平台
支持兼容主流商業檢測工具的安全嵌入應用(如HP FortifySCA、CheckmarX)進行集中管理、權限管控、統一報表,且支持歷史檢測結果的導入及整合。本地化專業服務
提供專業可靠的服務團隊,包括售後實施、培訓等;量身定製的人工服務,提供更為深入的源代碼安全風險檢測與分析服務。