开发阶段为引入漏洞最关键的阶段,超过50%的安全漏洞由错误的编码产生。究其原因是因为开发人员对所使用的语言与技术的安全特性不了解,写出的代码符合功能上的需求,但缺乏安全上的考虑。青穗软件联合国内外专家编写了各种主流语言的标准安全编码规范。根据不同的需求,能够为客户定制符合企业自身技术标准的安全编码规范。
主流安全编码列表:
C/C++安全编码规范
Java安全编码规范
JavaScript安全编码规范
Python安全编码规范
PHP安全编码规范
CSharp安全编码规范
代码审核规范
代码审核机制是确保编码质量的关键机制。由于工作量的缘故,采用静态扫描工具代替人工是当前的趋势。但静态扫描工具并非是全自动化的工具,如果企业没有相应的安全漏洞基线、扫描流程规范与安全负责人,那么工具并不能带来很大的作用,反而有可能带来额外的工作量。
漏洞基线
定义漏洞基线可以对应到标准S-SDLC威胁建模中定义威胁的部分。通过把项目可能有的威胁对应到漏洞扫描基线中,可以通过工具快速的检测项目应对威胁的安全措施有无实现。精确扫描基线的建立可以大量减少后期排查漏洞时间。
扫描流程规范
各部门之间的协作不畅往往是企业无法真正用好静态漏洞审核工具的原因之一。青穗软件通过汲取国内外成功案例的经验,具备能力为客户制定高效、合理的扫描流程规范。
主要使用工具
青穗软件具有丰富的各类主流静态代码扫描的使用经验、能够为企业用户提供专业的使用指导。 提供支持的主要工具列表:
HP Fortify
IBM App Scan
Fortify WebInspect
Sonaqube
漏洞修复培训
青穗软件包含详尽的各语言漏洞培训服务。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
