《XXX企业源代码安全测试方案建议书》由会员分享,可在线阅读,更多相关《XXX企业源代码安全测试方案建议书(7页珍藏版)》请在金锄头文库上搜索。
1、中国XXXX企业软件安全测试技术建议方案 一、信息安全的现状 确保计算机系统和应用免受侵入和破坏是管理商业风险最为重要的一部分,每年企业都花了数百万美元的成本在计算机软件,硬件和服务方面去保护他们的IT系统,数据免受诸如病毒. worms, ,黑客攻击,我们期望花更多的预算去减轻我们商业应用系统的信息安全,但是结果并不是我们想象的那样,现目前我们的信息系统仍然处在不安全的境地,据IDC的统计,至少有75%的企业发现他们的系统被黑客成功地攻击过。我们已经建立了非常完善的认证系统、网络安全系统、入侵检测的防范措施,为什么我们的系统还是处在不安全的境地呢?通过全球的一些信息安全专家的调查和分析,他们
2、得出这样一个结论:目前我们信息安全的主要问题:是应用软件安全问题,而不是我们通常所认为的网络问题,操作系统问题.。这下面是来自Gartner Group 和NIST的分析报告。 “Over 75% of security vulnerabilities exist at the application layer, not the network layer. Its not just operating systems or web browsers, but all types of applications - particularly applications that automat
3、e key business processes.” -Gartner Group 2008因此,应用软件的自身的安全问题是我们信息安全领域最为关心的问题,也是我们面临的一个新的领域,需要我们所有的在应用软件开发和管理的各个层面的成员共同的努力来完成。二、中国XXXX企业的软件安全现状中国XXXX企业是目前的应用软件开发主要采取软件外包和自主研发相结合的模式,对于中国XXXX企业来讲,应用软件自身的安全问题,也是一个几乎全新的领域,但是他们已经意识到这是他们下一阶段为确保信息安全必须要做的一个非常重要的事情,在我们与他们前期的交流中我们了解到目前他们在实现开发应用安全软件方面还存在如下一些问题
4、:1、 外包团队和公司的研发团队对于开发安全的应用软件的意识不浓和知识不足。许多已经被OWASP、ISO17799、PCI等信息安全组织标识为严重软件安全漏洞的问题了解不足,或者了解深度不够,从而造成他们在编码的时候没有考虑到部分软件安全漏洞或者在安全漏洞的预防方面不够彻底和充分,因此在他们的应用系统中存在着许多诸如SQL-injection, Cross-site-Script 的软件安全漏洞。2、 没有完善的应用软件安全的审计策略和措施。由于缺少应用软件安全保护方面的知识,因此目前对于外包团队的项目进行软件安全审计的时候不知道在在软件的安全方面具体要审核那些内容,以及如何去预防这些漏洞,现
5、目前也没有借助一些自动化的工具,因此对应用软件的原代码审计只能采用人工的方式,显得费时费力,并且效率低下,很多漏洞都未能检查到,迫切需要一种新的安全审计策略和措施来加强软件安全的审计问题。3、 没有应用安全信息的管理平台没有一个集中的应用安全信息管理平台供开发人员、审计人员和管理层交流,不便于内部对与软件项目的安全风险进行收集、处理、分析和预测和评估。三、Fortify Software简介Fortify Software 2003 年由Kleiner Perkin Claufield& Byers 风险基金投资成立,总部设在美国加州硅谷。Fortify Software 是世界上第一个提出软
6、件安全新理念的公司,并于2004年推出业界第一款产品。公司CTO兼创始人Mr Roger Thornton 是世界软件安全这一新领域的主要缔造者, 公司另一创始人Dr Brian Chess 是世界级安全专家。Fortify Software的产品主要为软件源代码扫描器,软件应用监控, 渗透测试覆盖率检测等。公司拥有150多项专利,居行业之首。目前全球已有600家客户,其中银行,保险,证券占一半以上。全球8大银行如汇丰,花旗,WellsFargo, Morgan已全部采用Fortify Software的解决方案。其他领域的客户为电子商务类的eBay, Google, 软件厂商Oracle,M
7、icrosoft 和EMC等以及政府部门。 2008年4月Fortify Software 在中国设立了北京代表处,并对产品的关键内容进行了汉化。Fortify software 部分中国客户名单国内的主要客户:四、Fortify Software 公司应用软件安全开发和管理方案软件源代码安全扫描、审计和管理方案 Fortify Software公司的应用软件安全开发和管理方案为应用软件开发的组织和安全审计的人员和应用安全管理人员提供工具和确立最佳的应用软件安全实践和策略,帮助他们在软件开发的生命周期中以最短的时间、花最少的成本去识别和修复软件的安全隐患。其产品组成如下: Fortify So
8、urce Code Analysis suite(SCA)包含: A. Fortify Source Code Analysis Engine(源代码分析引擎) 采用数据流分析引擎,语义分析引擎,结构分析引擎,控制流分析引擎,配置分析引擎和特有的X-Tier跟踪器从不同的方面查看代码的安全漏洞,最大化降低代码安全风险。B. Fortify Secure Code rules:Fortify (软件安全代码规则集) 采用国际公认的安全漏洞规则和众多软件安全专家的建议,辅助软件开发人员、安全人员和管理人员快速掌握软件安全知识、识别软件安全漏洞和修复软件安全漏洞。其规则的分类和定义被众多国际权威机构
9、采用,包括美国国土安全(CWE)标准、OWASP,PCI 等。C. Fortify Audit Workbench (安全审计工作台) 辅助开发人员、安全审计人员对Fortify Source Code Analysis Engines(源代码分析引擎)扫描结果进行快速分析、查找、定位和区分软件安全问题严重级别。 D. Fortify Rules Editor (安全规则构建器) 提供自定义软件安全代码规则功能,满足特定项目环境和企业软件安全的需要。E. Fortify SCA plug in (Fortify SCA IDE集成开发插件) Eclipse, Visual Studio, RA
10、D 集成开发环境中的插件,便于开发者在编写代码过程中可以直接使用工具扫描代码,立刻识别代码安全漏洞,并立即根据建议修复,消除安全缺陷在最初的编码阶段,及早发现安全问题,降低安全问题的查找和修复的成本。F. Fortify 360 Server(软件安全管理器) 基于WEB企业用户接口的软件安全信息存储分析评估和报告的软件安全管理平台.主要功能是定义和监视软件安全策略、跟踪和报告软件安全趋势、跨多个应用管理软件安全风险。公司的管理层可以通过对目前商业应用系统的分析而得出应用软件的安全策略,安全的策略使用管理平台进行管理和跟踪,安全的审计人员在贯彻公司的安全策略的同时,通过配置或者自定义软件安全规
11、则来达到策略的要求,并为开发团队或者外包团队员提供安全代码规范,当开发人员在开发代码时,使用源代码扫描工具自动识别安全漏洞并修复它,并向审计人员提供已经开发完的源代码,审计人员审核代码是否合乎公司的安全代码规范和安全策略,并上传报告给公司的管理层。五、建议实施方案根据目前的软件项目开发和软件测试状况,Fortify公司相信,Fortify完整的安全测试解决方案和多年的部署实施经验,一定能帮助中国XXXX企业解决软件安全的问题。根据多年的客户实施经验,我们推荐中国XXXX企业采用以下实施方案:方案概要: (1) 使用Fortify SCA+360 Server+Collaboration Mod
12、ule建立软件源代码安全审计模式 (2) 产品部署及使用角色设置方案 方案目的:本方案通过建立一套完整的安全测试审计制度,减少由不规范、不安全的编码而产生的安全性漏洞,来真正地帮助中国XXXX企业提高其IT应用系统的质量和安全性,提高源代码安全开发,测试及安全管理水平。使用模式:Gate审计模式:根据Fortify对中国XXXX企业目前软件开发项目流程的了解,结合Fortify多年来为全球客户成功实施部署的经验,Fortify 建议XXXX企业实施“Gate”模式的审计方式,即在验收测试阶段引入安全测试,大部分Fortify 的中国客户最初都是使用这种模式。具体如下:需求分析功能/验收测试QA
13、/性能测试发布架构设计编码SCA源代码扫描 图1:Fortify SCA审计模式示意图“Gate”审计模式说明:(1) 软件安全测试或审计人员通过代码版本控制器,把开发人员提交的项目代码的阶段版本,用Fortify SCA进行扫描分析,并给予审计。(2) 审计人员将项目的审计结果报告于开发人员(或外包商)对其漏洞进行修复。(3) 审计通过的项目进入下一阶段的其它测试或者正常阶段发布。(4) 审计人员将每一次扫描审计的结果发布于Fortify 360 Server中,便于管理人员查看漏洞,了解项目漏洞程度,安全趋势等综合状况信息。同时,结合Fortify 360 Server 的Collabor
14、ation Module功能,开发人员(外包商),审计人员,安全管理人员可以通过Web方式查看到SCA的扫描结果以及审计状态等详细信息,方便对安全漏洞的查看,交流,沟通工作以及代码的修改。六、Fortify Software 应用软件安全方案给中国XXXX企业带来的价值1、 丰富而全面软件安全代码规范及其文档资料弥补中国XXXX企业开发人员和管理人员应用软件安全知识不足,让大家尽快了解各种软件安全漏洞的成因和修复方法。2、 使用Fortify software公司的SCA大大节约了开发人员和审计人员在识别软件漏洞和修复安全漏洞的时间。3、 对于软件外包的项目,能快速识别项目风险,防止外包团队成员有意或者无意而遗留在软件项目中的安全隐患,避免以后软件上线后造成重大的经济和其他方面损失。4、 通过使用Fortify的工具可以帮助中国XXXX企业研发中心建立规范的代码安全审计流程,并使在项目验收过程中引入软件安全验收环节变为可行。5、 通过Fortify 360 Server的使用和软件安全测试规范的制定,便于XXXX企业针对不同的软件项目制定软件安全的策略和安全的代码规范,并且能在软件开发的生命周期中去贯彻和实施这些规范和策略,并且跟踪和管理他们。
