如何使用源代码扫描分析服务平台进行代码审计及漏洞修复?

  1. 云栖社区>
  2. 博客>
  3. 正文

如何使用源代码扫描分析服务平台进行代码审计及漏洞修复?

游客ahhoi2r736byy 2019-03-27 10:47:33 浏览919
展开阅读全文

代码审计网是端玛科技联合业界著名的软件安全咨询服务公司Security Innovation、最优秀的源代码安全扫描产品及服务提供商VeraCode、Micro Focus、(ISC)²国际信息系统安全技术联盟、公安部第三研究所——国际技贸、电子科技大学——网络空间安全研究中心、华中科技大学——计算机科学与技术学院、中国软件测评机构联盟,北京时代新威及多家业内知名安全公司共同打造的专业性代码审计服务网站,关注并研究最新的源代码分析技术,并致力于如何更好服务于客户,力求为全球客户提供高效专业的代码审计服务。

代码审计网提供的安全审计服务主要可以分为以下三大类:

一.自助式源代码安全漏洞扫描

代码审计网提供的源代码安全扫描分析服务平台,主要是采用国内端玛科技的企业级源代码扫描分析服务平台DMSCA个和国际知名的VeraCode源代码扫描分析服务平台。

1、DMSCA-企业级静态源代码扫描分析服务平台
1526613753170519_1_

开发人员可以通过Internet或者局域网络 从浏览器、Eclipse、Visual Studio 、命令行 、甚至 Web 服务访问DMSCA 服务平台,上传扫描代码,选择扫描策略,自动化扫描, 并利用平台可视化环境 ,审计扫描结果 ,生成审计报告 ,并可以利用平台提供的知识库,学习软件安全漏洞 、代码质量缺陷等多方面的知识,加速源代码缺陷修复 。

2、 VeraCode静态源代码扫描分析服务平台

Veracode静态源代码分析服务平台是全球商业运营最好的平台,全球数千家 软件科技公司都在使用其服务发现软件安全漏洞、质量缺陷。
1526281461436694
支持众多主流的开发语言和框架:  

Java
.NET
JavaScript & TypeScript (including AngularJS, Node.js, andjQuery)
Python, Perl, PHP, Ruby on Rails, Scala, ColdFusion, Classic ASP
iOS (Objective-C and Swift), Android (Java), PhoneGap, Cordova,Titanium, Xamarin
C/C++ (Windows, RedHat Linux, OpenSUSE, Solaris)
COBOL, RPG, Visual Basic 6
  代码审计网作为VeraCode全球重要合作伙伴,共同致力于为客户发现更多的软件安全漏洞及质量缺陷,增加软件的安全性和可靠性 。为中国地区的VeraCode用户提供专业的软件安全代码审计咨询服务。

 

3、Fortify SCA 及 Checkmarx产品扫描服务

代码审计网同时可以根据客户需要,提供基于Fortify SCA 和 Checkmarx产品的扫描平台,为客户提供独享的桌面的虚拟云服务。

 

二.现场及网络式专家级源代码审计服务

源代码安全审计专家,自带工具或者使用客户方已有的代码扫描工具,到客户现场或通过远程网络方式。对用户被测系统的开发语言、框架、安全合规要求、业务风险要求等进行调查分析,确定安全扫描分析目标,根据客户使用的开发技术使用一种或多种源代码审计工具安全审计,并生成合规性报告。详细流程如下:

 

1、系统架构风险调查

审计专家制定《系统源代码安全风险评估调查清单》,由系统开发团队填写提交,根据反馈内容进行访谈,了解被测系统语言、架构、合规要求等特征,分析提炼出系统薄弱点、易发问题、适合的扫描工具、扫描目标及最佳扫描策略等。

2、扫描工具部署

用户根据审计团队提供的扫描工具部署环境需求,准备部署环境后,审计团队现场或者远程部署扫描工具,并根据系统架构风险调查结果进行调试和配置;

3、代码扫描及数据分析

使用最佳的扫描配置对被测系统源代码进行扫描,整理汇总扫描结果,由代码审计专家对测试结果进行人工分析,制定《系统源代码安全风险评估及修复建议报告》;

4、解读问题及修复指导

审计专家通过与开发团队现场会议或者远程沟通的方式,对扫描分析出的问题的原因、危害、代码中的路径位置进行详细解读,并指导开发人员对问题进行修复;

5、回归测试

修复完成后,重新提交代码进行扫描审计,直至客户关注的问题全部得到修复。

6、报告及数据整理

制定《源代码安全审查总结报告》,汇总审计服务中发现的漏洞、需要修复的漏洞、开发团队的漏洞修复情况,以及遗留风险等信息。并帮助用户对测试过程中的数据进行整理存档,清除测试环境中的各类过程数据,保证系统及测试数据的安全性和保密性。并根据行业合规性要求,出具合规性报告。

三.企业级源代码安全审计咨询服务

代码审计网专家服务团队,除了提供网络、现场的源代码审计服务外,为了帮助企业建立代码审计服务平台、代码扫描基线、安全和质量编码规范、制度流程,打通企业研发的各个管理环节,实现自动化等企业级源代码安全审计咨询服务。

企业要建立内部完整的代码审计服务平台,实现高效的自动化代码审计,需要打通企业研发管理的各个环节,让工具融入现有开发测试环境真正被接受和充分利用,需要从工具、扫描基线、编码规范到制度流程等各个环节进行评估设计。而代码审计网专家服务团队,可以提供完全满足上述需求的企业级源代码安全审计咨询服务,包含但不限于以下内容:

源代码安全扫描分析工具选型建议
源代码安全基线分析与制定
软件安全编码规范制定及实施
源代码扫描自动化实现
软件安全开发技术培训
软件安全开发生命周期(SDL)咨询
经过企业级的代码安全审计咨询服务可实现:企业关注的问题,都有编码规范要求;编码规范要求的,都会在测试或审计环节被扫描;扫描出的问题,都有详细的帮助文档协助修复。

主要服务内容如下:

1、源代码安全扫描分析工具选型建议

   审计专家制定《企业源代码安全风险评估调查清单》,由开发管理团队填写提交,根据反馈内容进行访谈,了解企业常用语言、架构、合规要求等特征,并对比业内各种源代码安全扫描工具的优缺点及企业特点,分析企业应用系统代码安全扫描最适合的工具,为企业选择扫描工具提供依据。

2、源代码扫描工具自动化实现

    根据企业开发测试环境,将代码扫描工具与源码版本管理工具(SVN、GIT等)、邮件服务器、IDE、缺陷跟踪、持续集成等集成,实现自动高效的代码扫描和管理。

3、企业应用系统整体代码风险评估

    审计专家对企业主要的应用系统进行整体的代码安全扫描和评估,并汇总结果数据,分析并制定《历史项目代码安全缺陷汇总报告》,帮助企业明确其整体代码安全形势。

4、试点项目详细分析

4.1 试点项目选择与调查

    根据历史项目扫描结果中各系统漏洞覆盖情况,以及系统的重要性等方面,从中选取若干试点系统作为试点扫描目标,由代码审计专家进行详细分析。

    制定《项目技术信息调查表》,与开发团队沟通以调查系统的各项技术特征和业务特征。

4.2 试点项目扫描与扫描结果分析

    审计专家根据调查结果,优化工具策略,对试点系统代码进行进一步扫描,以会议等形式为开发团队详细解读发现的各类安全及质量缺陷的原因、危害、代码中的路径位置,并制定《试点项目代码风险评估报告及修复建议》,提供可行的修复建议指导开发人员的修复工作。

5、制定安全编码规范

审计专家根据企业历史及试点项目扫描审计数据,对实施阶段发现的开发人员犯过以及易犯的问题进行分析,按照语言编制《源代码安全编码规范》,来指导开发人员编写更加安全的源代码,从开发阶段就防止绝大多数安全及质量问题,开发出更安全的应用系统。

6、制定源代码扫描基线

    对企业及同行业关注的各类安全及质量缺陷,进行汇总分类,根据缺陷严重程度、企业关注程度、修复紧急度、修复难度等因素,划分为高、中、低、提示信息四个级别,制定企业自己的扫描策略基线,并集成到扫描工具中。

7、制定代码扫描管理规范及流程

    审计专家对企业目前的代码安全管理现状和程序上线流程进行调研,考查如何将代码扫描管理流程与现有的开发上线流程进行有机结合。

调研完成后,结合同行业其他客户的经验、国际软件编码安全规范的要求与企业自身特点,制定《代码扫描管理规范及流程建议》,帮助企业更轻松的实现自己的代码扫描、管理、整改等流程。

8、培训

根据企业的需求,代码审计网可提供多种形式的培训和丰富的培训内容,全部由多年项目实施经验以及培训经历的高级培训讲师进行授课,包括但不限于以下内容:

代码扫描工具厂商的工具使用培训
软件安全意识及应用安全基础培训
安全开发技能培训
软件安全编码原则培训
重要漏洞分析与预防培训
代码安全审计培训
软件安全在线学习平台
软件安全开发在线知识库

以上是对企业级源代码扫描服务平台的介绍及使用方法,对于漏洞修复,博主会有新的文章。
平台下载地址:link

网友评论

登录后评论
0/500
评论
游客ahhoi2r736byy
+ 关注