金融行业源代码安全保障解决方案

面临的挑战

金融行业作为我国信息化前沿的核心行业,随着互联网快速发展,提供对外服务的业务系统逐步暴露在互联网上,面临的安全威胁风险空前增大;另外,随着构建在信息系统之上的各种业务应用的不断丰富,软件和信息系统复杂程度的不断提高,系统中隐藏漏洞或者后门的各种安全隐患也越来越多,并且通常难以被及时发现修复。

应用软件源代码是构建金融业务系统信息的基础组件,软件代码中安全漏洞和未声明功能(后门)的存在是安全事件频繁发生的根源。忽视软件代码自身的安全性,仅仅依靠外围的防护、事后的修补等方法,必然事倍功半,同时增加后期维护投入成本。

对源代码安全根据《信息安全等级保护基本要求》以及《信息安全管理系统要求》的相关标准和要求“防范恶意代码和移动代码”应用软件可能存在源代码缺陷、软件后门、不符合规范要求等,必须在开发和审计阶段在上线前提供相应的源代码审查。

主要解决源代码如下可能存在安全风险痛点问题:
  • 软件外包开发以及自身研发的团队对于应用软件源代码安全风险意思不足,在编写代码的时候对CWE、OWASPI等信息安全组织标识为严重软件安全问题了解不足,容易导致应用系统存在如缓冲区溢出、SQL注入、跨站脚本、代码质量、危险函数的软件安全漏洞。
  • 软件外包开发以及自身研发的团队为了赶开发进度时间要求,在开发时候直接引用开源代码模块,同时对开开源代码模块是否存在法律风险或者安全漏洞隐患的问题。
  • 缺少完善的应用软件安全的审计策略和措施,由于缺少应用软件安全保护方面的意识以及重视不足,在对应用软件的源代码审计单采用人工的方式,在没有自动化的工具检测结果,效率低下,同时导致应用软件很多漏洞未能被发现。
  • 缺少代码安全保障管理平台,不便于内部开发人员、审计人员、管理人员对应用软件安全开发生命周期的安全风险收集、处理、分析、预测和评估,对业务系统源代码检查,安全合规管理要求准备不足或者缺乏控制措施。

解决方案

360代码卫士专注于为金融组织提供一套源代码安全分析解决方案,是360公司面向源代码安全需求开发的基于软件安全开发生命周期管理的新一代源代码安全检测系统。在不改变组织现有开发流程的前提下,与组织代码仓库(如SVN)、Bug管理系统(如Bugzilla)无缝对接,实现开发过程中的源代码缺陷管理、源代码溯源检测管理及合规管理,以最小代价帮助组织实现源代码安全目标设定、自动化检测、目标差距分析、Bug 修复跟踪等功能,实现源代码安全的可视化管理。

软件源代码是金融组织机构的核心机密,源代码安全检测产品部署到开发和测试网络中之后,是否会引入其他的安全风险,如何保障源代码安全检测产品自身的安全可控,是组织机构关心的问题。代码卫士是360企业安全集团自主研发的国产源代码安全检测产品,解决方案符合国家信息安全产品“自主、可控”的原则。

图:代码卫士与开发测试流程整合平台

图:代码卫士与开发测试流程整合平台

方案价值

与开发和测试流程的无缝整合
  • 支持本地的代码检测,支持SVN等代码库的源代码检测;
  • 检测结果与Bug管理系统融合,检测结果可导入至Bug管理系统中;
  • 不改变组织现有开发流程,插件式融入组织开发流程。
缺陷管理+合规管理
  • 支持代码缺陷检测,检查源代码中存在的安全缺陷;
  • 支持源代码合规,检查源代码是否违背代码开发规范,约束开发者的开发行为;
  • 代码卫士内置支持主流国际标准和规范的代码合规检测,包括:CERT安全编程标准、ISO/IEC TR 24772、MISRA C/C++等;
  • 支持Windows、Linux、Android等多种操作系统平台上软件源代码的安全检测;
  • 支持C/C++/JAVA/C#/JSP/HTML/XML/JS/Python等主流编程语言。
自动周期检测
  • 将代码卫士与代码库进行关联,配置好定时检测计划,系统能自动获取源代码进行定时周期性检测。
缺陷趋势分析
  • 对源代码的不同版本的检测结果进行比对分析,分析代码安全趋势;
  • 缺陷信息数据的深度挖掘,按时间、部门、缺陷等级、缺陷类别等多口径挖掘数据并加以分析和结果展示。
缺陷知识反馈
  • 结合内置经验数据及用户审计数据,将不同引擎的检测能力进行精确反馈,提高检测的精度。
灵活扩展性及个性化定制
  • 支持检测引擎的动态扩充,扩大检测规模;
  • 支持代码规范及检测规则的定制;
  • 支持报告格式的定制。
兼容性和统一管理平台
  • 支持兼容主流商业检测工具的安全嵌入应用(如HP FortifySCA、CheckmarX)进行集中管理、权限管控、统一报表,且支持历史检测结果的导入及整合。
本地化专业服务
  • 提供专业可靠的服务团队,包括售后实施、培训等;
  • 量身定制的人工服务,提供更为深入的源代码安全风险检测与分析服务。