構(gòu)建一個應(yīng)用程序,并始終確保應(yīng)用程序其安全性的話��,事實(shí)上構(gòu)建應(yīng)用程序的時候需要花大量的工作����,一個步驟沒有檢查就可能導(dǎo)致整個系統(tǒng)或者產(chǎn)品都處于受黑客攻擊的危險之中,誰不希望在產(chǎn)品發(fā)布初期就發(fā)現(xiàn)安全漏洞并且修復(fù)漏洞����,那何樂而不為呢���!
賽辰可以對未經(jīng)編譯的軟件源代碼進(jìn)行代碼掃描分析��,快速識別安全漏洞及發(fā)現(xiàn)合規(guī)方面存在的問題���,并向您指出漏洞的位置和分析修復(fù)方法��。由于是對未經(jīng)編譯的代碼進(jìn)行掃描��,因此不需要去處理復(fù)雜的代碼編譯所需要的環(huán)境及構(gòu)建問題�����。節(jié)省大量的人力和時間成本��,提高開發(fā)效率�,并且能夠發(fā)現(xiàn)很多靠人力無法發(fā)現(xiàn)的安全漏洞��,站在黑客的角度上去審查程序員的代碼��,找出潛在的風(fēng)險�,從內(nèi)對軟件進(jìn)行檢測,提高代碼的安全性�,大大降低項目中的安全風(fēng)險,提高軟件質(zhì)量��,可快速、準(zhǔn)確地查找�����,定位和修復(fù)軟代碼中存在的安全風(fēng)險�����。同時兼容并達(dá)到國際���、國內(nèi)相關(guān)行業(yè)的合規(guī)要求���。
源代碼安全漏洞掃描分析結(jié)合結(jié)合OWASP十大Web漏洞以及設(shè)備、CVE公共漏洞字典表����、CWE、CNVD等權(quán)威漏洞庫規(guī)則集���、軟件廠商公布的漏洞庫��,結(jié)合專業(yè)源代碼掃描工具對各種程序語言編寫的源代碼安全漏洞掃描分析��。
1)安全編碼規(guī)范及規(guī)則分析
在軟件編碼之前����,利用賽辰檢測實(shí)驗(yàn)室豐富的安全測試經(jīng)驗(yàn)����,為系統(tǒng)開發(fā)人員提供安全編碼規(guī)范、規(guī)則的咨詢和建議���,提前避免不安全的編碼方式����,提高源代碼自身的安全性����。
2)源代碼安全現(xiàn)狀分析
針對系統(tǒng)開發(fā)過程中的編碼階段、測試階段���、交付驗(yàn)收階段��、對各階段系統(tǒng)源代碼進(jìn)行安全審計檢測����,利用數(shù)據(jù)流分析引擎��、語義分析引擎、控制流分析引擎等技術(shù)�,采用專業(yè)的源代碼安全審計工具對源代碼安全問題進(jìn)行分析和檢測并驗(yàn)證,從而對源代碼安全漏洞進(jìn)行定級�,給出安全漏洞分析報告等,幫助軟件開發(fā)的管理人員統(tǒng)計和分析當(dāng)前階段軟件安全的風(fēng)險�、趨勢,跟蹤和定位軟件安全漏洞�,提供軟件安全質(zhì)量方面的真實(shí)狀態(tài)信息。
3)源代碼整改分析
依據(jù)源代碼安全測評結(jié)果���,對源代碼安全漏洞進(jìn)行人工審計��,并依據(jù)安全漏洞問題給出相應(yīng)修改建議���,協(xié)助系統(tǒng)開發(fā)人員對源代碼進(jìn)行修改。
根據(jù)不同開發(fā)語言檢測出不同開發(fā)語言中常見錯誤����,比如:c/c++中的空指針釋放、內(nèi)存管理問題(如內(nèi)存泄漏) ����、數(shù)組越界、未初始化數(shù)據(jù)使用、編碼風(fēng)格等問題���;java語言中效率錯誤(如:空的finalize方法)���、可維護(hù)性問題(如:空的catch從句)�、可靠性問題(如資源泄漏)等。
支持主流語言:Java�、JSP、JavaScript����、VBSript、C#���、ASP.net����、VB.Net�����、VB6��、C/C++�����、ASP、PHP�����、Python��、Swift��、Ruby���、Perl�����、PL/SQL���、Android、OWASP ESAPI�����、MISRA、Objective-C(iOS)�、API及第三方語言。
支持的主流框架(Framework):Struts�����、Spring��、Ibatis���、GWT、Hiberante���、EnterpriseLibraries����、 Telerik��、ComponentArt�、Infragistics、FarPoint�、Ibatis.NET、Hibernate.Net [*]�����、MFC���?舍槍蛻籼囟ǹ蚣芸焖俣ㄖ浦С�����。
檢測通過后出具相應(yīng)的檢測報告��。
業(yè)務(wù)受理:020-32200125
相關(guān)政策文件:《工業(yè)和信息化部 國家互聯(lián)網(wǎng)信息辦公室 公安部關(guān)于印發(fā)網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定的通知》(工信部聯(lián)網(wǎng)安〔2021〕66號)
400-004-1069