多面魔方技術(shù)服務(wù)公司-c語(yǔ)言源代碼安全審計(jì)系統(tǒng)

代碼安全審計(jì)需要做什么準(zhǔn)備工作

? ? ? 在代碼審計(jì)前期準(zhǔn)備階段，項(xiàng)目組將根據(jù)業(yè)務(wù)系統(tǒng)的實(shí)際情況定制訪談材料，采用文檔審核和訪談方式對(duì)業(yè)務(wù)軟件功能、架構(gòu)、運(yùn)行環(huán)境和編程語(yǔ)言等實(shí)際情況進(jìn)行調(diào)研。了解業(yè)務(wù)系統(tǒng)的開發(fā)環(huán)境、架構(gòu)、安全現(xiàn)狀以及運(yùn)行環(huán)境等可能對(duì)業(yè)務(wù)系統(tǒng)安全性產(chǎn)生影響的各種因素。同時(shí)會(huì)準(zhǔn)備代碼審計(jì)工具、務(wù)系統(tǒng)測(cè)試系統(tǒng)等環(huán)境，為代碼審查工作的開展提供必要條件。

商業(yè)化源代碼審計(jì)工具對(duì)比

近年來，大部分安全問題來自于應(yīng)用層安全，應(yīng)用層的安全問題主要由軟件源代碼中的安全缺陷所導(dǎo)致。有關(guān)源代碼安全的研究越來越多，源代碼安全成為了解決信息安全問題的一個(gè)重要方向，也是信息安全中的一個(gè)新興領(lǐng)域。

在開發(fā)階段引入代碼檢測(cè)解決安全問題的思路開始被很多企業(yè)所認(rèn)可。源代碼檢測(cè)屬于程序分析領(lǐng)域，需要具有相關(guān)領(lǐng)域的技術(shù)儲(chǔ)備，很多傳統(tǒng)的安全廠商都沒有相關(guān)的商業(yè)化技術(shù)產(chǎn)品。網(wǎng)上有很多開源的審計(jì)工具，但檢測(cè)能力、檢測(cè)精度較差，本文結(jié)合多年對(duì)源代碼檢測(cè)產(chǎn)品的了解，c語(yǔ)言源代碼安全審計(jì)，介紹三款較為成熟的商業(yè)化源代碼檢測(cè)產(chǎn)品。

Fortify Software公司是一家總部位于美國(guó)硅谷，致力于提供應(yīng)用軟件安全開發(fā)工具和管理方案的廠商。Fortify為應(yīng)用軟件開發(fā)組織、安全審計(jì)人員和應(yīng)用安全管理人員提供工具并確立佳的應(yīng)用軟件安全實(shí)踐和策略，幫助他們?cè)谲浖_發(fā)生命周期中花少的時(shí)間和成本去識(shí)別和修復(fù)軟件源代碼中的安全隱患。

Checkmarx 是以色列的一家高科技軟件公司。它的產(chǎn)品CheckmarxCxSuite專門設(shè)計(jì)為識(shí)別、跟蹤和修復(fù)軟件源代碼上的技術(shù)和邏輯方面的安全風(fēng)險(xiǎn)。了以查詢語(yǔ)言定位代碼安全問題，其采用的詞匯分析技術(shù)和CxQL查詢技術(shù)來掃描和分析源代碼中的安全漏洞和弱點(diǎn)。

360代碼衛(wèi)士是360企業(yè)安全集團(tuán)基于多年源代碼安全實(shí)踐經(jīng)驗(yàn)推出的新一代源代碼安全檢測(cè)解決方案，包括源代碼缺陷檢測(cè)、合規(guī)檢測(cè)、溯源檢測(cè)三大檢測(cè)功能，同時(shí)360代碼衛(wèi)士還可實(shí)現(xiàn)軟件安全開發(fā)生命周期管理，與企業(yè)已有代碼版本管理系統(tǒng)、缺陷管理系統(tǒng)、構(gòu)建工具等無縫對(duì)接，c語(yǔ)言源代碼安全審計(jì)報(bào)告，將源代碼檢測(cè)融入企業(yè)開發(fā)流程，c語(yǔ)言源代碼安全審計(jì)方案，實(shí)現(xiàn)軟件源代碼安全目標(biāo)管理、自動(dòng)化檢測(cè)、差距分析、Bug修復(fù)等功能，幫助企業(yè)以小代價(jià)建立代碼安全保障體系并落地實(shí)施，構(gòu)筑信息系統(tǒng)的“內(nèi)建安全”。

軟件開發(fā)所面臨的安全問題

1、代碼與架構(gòu)復(fù)雜

幾十萬、幾百萬行代碼、一個(gè)業(yè)務(wù)分幾十個(gè)模塊幾十個(gè)代碼倉(cāng)庫(kù)家常便飯；開發(fā)語(yǔ)言多種多樣，各種自研框架、流行框架應(yīng)接不暇、架構(gòu)還非常復(fù)雜。

以上兩個(gè)問題對(duì)審計(jì)人員、SAST工具來說無疑都是很大的挑戰(zhàn)。

2、工具準(zhǔn)召率

沒有工具是所謂銀彈，規(guī)則、插件準(zhǔn)召率很低，需要根據(jù)開發(fā)語(yǔ)言、編碼風(fēng)格自定義；工具對(duì)邏輯漏洞的無力，與業(yè)務(wù)邏輯漏洞大量曝光的漏洞態(tài)勢(shì)之間的矛盾，工具、系統(tǒng)的運(yùn)營(yíng)也需要專門人力投入，從而不斷提高工具的準(zhǔn)召率。

3、心態(tài)

審計(jì)人員出于KPI的考慮，想著既然花了很長(zhǎng)時(shí)間做了代碼審計(jì)，為了體現(xiàn)工作量就必須說點(diǎn)什么，如果系統(tǒng)本來沒有問題卻在那挑刺，c語(yǔ)言源代碼安全審計(jì)系統(tǒng)，會(huì)更加不信任你。對(duì)于甲方代碼審計(jì)人員，審計(jì)任務(wù)多、代碼龐大是常態(tài)，如果不考慮后果的只提高速度，這種方式會(huì)遺漏掉細(xì)節(jié)，導(dǎo)致不能的審查。