软件安全是网络安全的基础防线,而软件的底层由大量代码组成。随着软件规模的增加,开发成本也在呈指数上升。这其中一个重要的原因是修正缺陷,倘若缺陷都能被快速发现并修正,成本上升的形态就基本能保持线性。
网络安全问题时刻都有新的变化,新的攻击方法层出不穷,黑客攻击的方向越来越侧重于利用软件本身的安全漏洞,例如SQL注入漏洞、跨站脚本漏洞、CSRF漏洞等,这些漏洞主要由不良的软件架构和不安全的编码产生。
开展源代码漏洞检测能够降低源代码出现的安全漏洞,构建安全的代码,提高源代码的可靠性,提高应用系统自身安全防护能力。源代码漏洞检测能够帮助开发人员提高源代码的质量,从底层保障应用系统本身的安全,从早期降低应用系统的开发成本。
一、业务简介
源代码漏洞检测是依据CVE(Common Vulnerabilities & Exposures)公共漏洞字典表、OWASP十大Web漏洞(Open Web Application Security Project),以及设备、软件厂商公布的漏洞库,结合专业源代码扫描工具对各种程序语言编写的源代码进行安全审计。能够为客户提供包括安全编码规范咨询、源代码安全现状测评、定位源代码中存在的安全漏洞、分析漏洞风险、给出修改建议等一系列服务。
二、服务内容
1、源代码漏洞检测可以检测和发现源代码中的安全问题,定位到具体的代码行,并为每一个发现的问题提供详细的信息提示和修复建议,帮助开发人员更好地理解并更有效地修复问题;
2、针对系统开发过程中的编码阶段、测试阶段、交付验收阶段、对各阶段系统源代码进行安全审计检测,采用专业的源代码安全审计工具对源代码安全问题进行分析和检测并验证,从而对源代码安全漏洞进行定级,给出安全漏洞分析报告等,帮助软件开发的管理人员统计和分析当前阶段软件安全的风险、趋势,跟踪和定位软件安全漏洞,提供软件安全质量方面的真实状态信息;
3、依据源代码漏洞检测结果,对源代码安全漏洞进行人工审计,并依据安全漏洞问题给出相应修改建议,协助系统开发人员对源代码进行修改。
三、中心的优势
安徽省软件评测中心依托基础软件质量控制与技术评价实验室,获得CNAS国家认可实验室资屎�CMA资质认定,通过ISO27001信息安全管理体系、ISO9001质量管理体系、ISO45001职业健康安全管理体系、ISO14001环境管理体系认证;中心全体人员均为本科以上学历,持有各类专业证书。其中评测工程师拥有国家承认的软件信息化行业技术考证合格资质,以及计算机软件检测、数据安全等专业的中高级职称证书。
中心拥有专业的正版检测工具和丰富的测试经验,积累了20多年地方政府信息化建设的第三方服务成功案例和经验,先后承担了2万余款软件产品和5000余项信息系统工程的测试任务,行业领域涉及省市部委、教育、电信、交通、医疗、航空、公安、电力、农业、水利、林业等。通过专业的测试技术和优质的测试服务,在软件测试、质量保障业务方面为项目顺利运行保驾护航。