大型企業(yè)源代碼安全解決之道

1、大型企業(yè)源代碼安全解決之道應(yīng)用軟件安全是企業(yè)安全的根本重要性和挑戰(zhàn)性全球軟件規(guī)模和應(yīng)用高速擴(kuò)展2017 Cybercrime Report ，Cybersecurity Ventures軟件和產(chǎn)品安全挑戰(zhàn)不斷升級(jí)2017 Cybercrime Report ，Cybersecurity Ventures應(yīng)用軟件持續(xù)成為黑客攻擊的熱點(diǎn)Verizon 2018 Data Breach Investigations Report確認(rèn)的數(shù)據(jù)泄露中，資產(chǎn)種類最多的排名 (n=2,023)每個(gè)模式的泄露百分比和次數(shù) (n=2,023)源代碼安全造成的重大數(shù)據(jù)泄露 Uber 2016用明文登陸信息竊取AWS

2、 上 5700萬(wàn)沒(méi)有加密的Uber用戶個(gè)人數(shù)據(jù)獲取 GitHub上Uber源代碼中硬編碼的Uber接入AWS的明文登錄信息兩個(gè)黑客入 侵 GitHub 接入U(xiǎn)ber源代碼軟件安全和每個(gè)企業(yè)每個(gè)人息息相關(guān)資產(chǎn) 成本產(chǎn)權(quán)保護(hù)規(guī)則審查法律 訴訟客戶保留軟件 安全供應(yīng)關(guān)系合作關(guān)系企業(yè) 運(yùn)作大型企業(yè)應(yīng)用軟件安全的挑戰(zhàn)1規(guī)模2復(fù)雜度3效率4效用5治理應(yīng)用數(shù)量應(yīng)用類型掃描速度結(jié)果覆蓋率策略和法規(guī)代碼數(shù)量編程語(yǔ)言類型掃描容量結(jié)果質(zhì)量流程和規(guī)則開發(fā)人員數(shù)量技術(shù)類型系統(tǒng)資源修復(fù)速度檢測(cè)和監(jiān)測(cè)團(tuán)隊(duì)數(shù)量編譯環(huán)境工具安裝和使用工具性價(jià)比團(tuán)隊(duì)建設(shè)業(yè)務(wù)數(shù)量團(tuán)隊(duì)架構(gòu)和文化工作流程集成環(huán)境流程集成指標(biāo), 趨勢(shì), 報(bào)告應(yīng)用軟件和

3、產(chǎn)品的安全現(xiàn)況30%77%14%The State of Software Security Today 2017， Veracode大型企業(yè)應(yīng)用軟件安全解決之道戰(zhàn)略性和戰(zhàn)術(shù)性解決方案的重要因素關(guān)口前移, 防患于未然中國(guó)國(guó)家標(biāo)準(zhǔn)推動(dòng)應(yīng)用軟件安全GBT-284522012信息安全技術(shù)-應(yīng)用軟件系統(tǒng)通用安全技術(shù)要求信 息 系 統(tǒng)應(yīng) 用 軟 件 系 統(tǒng)應(yīng)用軟件系統(tǒng) 1應(yīng)用軟件系統(tǒng) n系統(tǒng)軟件（操作系統(tǒng), 數(shù)據(jù)庫(kù)系統(tǒng), 網(wǎng)絡(luò)系統(tǒng)軟件)系統(tǒng)硬件(計(jì)算機(jī), 網(wǎng)絡(luò)的硬件系統(tǒng)及設(shè)備, 設(shè)施, 環(huán)境等)應(yīng)用軟件系統(tǒng)安全是信息系 統(tǒng)安全的核心應(yīng)用軟件系統(tǒng)安全需求就是 信息系統(tǒng)的安全需求C/C+ 語(yǔ)言源代碼漏洞測(cè)試

4、規(guī)范Java 語(yǔ)言源代碼漏洞測(cè)試規(guī)范C# 語(yǔ)言源代碼漏洞測(cè)試規(guī)范大型企業(yè)應(yīng)用安全框架 (OWASP SAMM)軟件開發(fā)SAMM 概貌業(yè)務(wù)功能治理構(gòu)造驗(yàn)證部署安全實(shí)踐戰(zhàn)略 & 指標(biāo)政策 & 合規(guī)教育 & 指導(dǎo)威脅評(píng)估安全要求安全結(jié)構(gòu)設(shè)計(jì)復(fù)審執(zhí)行復(fù)審安全測(cè)試問(wèn)題管理環(huán)境強(qiáng)化運(yùn)行環(huán)境2.0DevOps建造 & 部署安全建造安全部署缺陷管理Build & Deploy應(yīng)用安全的具體實(shí)施策略和法規(guī)安全法規(guī)：應(yīng)用軟件系統(tǒng)安全國(guó)標(biāo), PCI,HIPPA, 網(wǎng)絡(luò)安全法, 密碼法安全政策：數(shù)據(jù), 風(fēng)險(xiǎn), 應(yīng)用分級(jí)；批準(zhǔn)的加密 算法和實(shí)現(xiàn), 工具, 功能庫(kù)安全標(biāo)準(zhǔn)和指南：國(guó)家源代碼漏洞測(cè)試規(guī)范,CWE, CVE,

5、 OWASP, 等培訓(xùn)和指南課程：核心安全，代碼標(biāo)準(zhǔn)，不安全功能， 威脅建模， 安全設(shè)計(jì)，靜態(tài)分析，勱態(tài)分析，入侵測(cè)試， 安全測(cè)試， 等等方式：網(wǎng)上，課室分析和檢測(cè)安全需求，風(fēng)險(xiǎn)建模，攻擊面分析安全設(shè)計(jì)， 測(cè)試工具選擇和定制同行代碼檢測(cè)，關(guān)聯(lián)程序庫(kù)安全分析， 靜態(tài)和勱態(tài)分析流程和管控安全流程實(shí)現(xiàn)策略， 開發(fā)流程集成安全漏洞數(shù)量， 分析數(shù)據(jù)和報(bào)告外部軟件供應(yīng)商安全規(guī)范企業(yè)應(yīng)用建庫(kù)管理風(fēng)險(xiǎn)分析和控制風(fēng)險(xiǎn)分析， 安全問(wèn)題分類排級(jí)企業(yè)整體安全報(bào)告：及時(shí)，全面，一目了然及時(shí)調(diào)整安全策略操作和執(zhí)行應(yīng)用安全中心集中定義流程業(yè)務(wù)線執(zhí)行團(tuán)隊(duì)服務(wù)和資訊緊急情況應(yīng)對(duì)措施實(shí)施安全自勱化安全軟件開發(fā)周期實(shí)際應(yīng)用需求開發(fā)

6、創(chuàng)建質(zhì)量橫梁評(píng)估安全風(fēng)險(xiǎn)培訓(xùn)核心安全培訓(xùn)發(fā)布設(shè)計(jì)建立設(shè)計(jì)需求攻擊面分析和縮減建立安全需求 威脅建模應(yīng)用認(rèn)可工具刪除不安全的 功能施行靜態(tài)分析驗(yàn)證施行勱態(tài)分析施行模糊測(cè)試復(fù)審攻擊面創(chuàng)建事件應(yīng)對(duì) 方案最后安全復(fù)審批準(zhǔn)發(fā)行存檔應(yīng)對(duì)執(zhí)行事件應(yīng)對(duì) 方案源代碼安全是產(chǎn)品安全的根源預(yù)防性和有效性應(yīng)用安全的預(yù)防和保護(hù)方法IBM Security代碼測(cè)試主動(dòng)預(yù)防運(yùn)行監(jiān)測(cè)應(yīng)對(duì)保護(hù)預(yù) 防 為 基 礎(chǔ)保 護(hù) 為 輔 劣以預(yù)防為主源代碼安全的有效性培訓(xùn)需求設(shè)計(jì)開發(fā)驗(yàn)證發(fā)布應(yīng)對(duì)1x3x5x10 x早發(fā)現(xiàn)早解決安全問(wèn)題減少成本30 x100 x機(jī)器測(cè)試和專家知識(shí)相結(jié)合的服務(wù)流程工具專家咨詢輔助測(cè)試分析報(bào)告修正自動(dòng)源代碼安全

7、測(cè)試靜態(tài), 勱態(tài), 和互勱測(cè)試支持源代碼和二進(jìn)制代碼掃描檢查安全漏洞和質(zhì)量缺陷支持多種程式語(yǔ)言, 應(yīng)用, 規(guī)范支持代碼交付, VPN連接, 和現(xiàn) 場(chǎng)測(cè)試方法測(cè)試結(jié)果分析安全漏洞分類和排級(jí)質(zhì)量缺陷分類和排級(jí)安全和質(zhì)量編碼規(guī)范分析測(cè)試結(jié)果分流和復(fù)審整體風(fēng)險(xiǎn)評(píng)估測(cè)試分析報(bào)告整體安全風(fēng)險(xiǎn)總結(jié)分類安全漏洞儀表板安全規(guī)范合規(guī)比分具體安全漏洞列表安全漏洞影響評(píng)估修正源代碼幫劣開發(fā)人員理解問(wèn)題根源輔劣開發(fā)人員修補(bǔ)漏洞培植軟件安全編程最佳實(shí)踐培訓(xùn)軟件安全理念和方法交流軟件安全規(guī)范和指南測(cè)試工具自動(dòng)化幫助提高效率源代碼安全測(cè)試案例 1案例名稱：某警務(wù)管家開發(fā)語(yǔ)言：Java業(yè)務(wù)概述：主要應(yīng)用于民警個(gè)人手機(jī)和移動(dòng)互聯(lián)

8、網(wǎng)的內(nèi)部 即時(shí)通訊，實(shí)現(xiàn)與公安業(yè)務(wù)系統(tǒng)的對(duì)接，作為全局各警種和 基層單位共用的基礎(chǔ)平臺(tái)。技術(shù)框架：包括提供應(yīng)用與業(yè)務(wù)的SAAS層、提供各種支撐 組件與框架的PAAS層和提供基礎(chǔ)設(shè)施的IAAS層3個(gè)部分的云 計(jì)算架構(gòu)。測(cè)試效果：定位了跨站腳本攻擊、敏感數(shù)據(jù)未加密、硬編 碼密碼、未限制危險(xiǎn)類型文件上傳、拒絕服務(wù)攻擊、權(quán)限控 制不當(dāng)導(dǎo)致的不當(dāng)資源訪問(wèn)等安全問(wèn)題。源代碼安全測(cè)試案例 2業(yè)務(wù)服務(wù)智能停車 管理誘導(dǎo)交通出行 網(wǎng)絡(luò)支付視頻接入 綜合處理交通運(yùn)行 仿真評(píng)價(jià)交通環(huán)境 污染監(jiān)測(cè)大交通數(shù)據(jù) 信息庫(kù)綠色交通指標(biāo)體系大交通數(shù)據(jù)采集匯聚、融合及分析處理交通元數(shù)據(jù)信息交通靜態(tài)數(shù)據(jù)交通動(dòng)態(tài)數(shù)據(jù)分析生成數(shù)據(jù) 普

9、通出行者云 中 心 基 礎(chǔ) 支 撐 資 源交通運(yùn)輸局交警支隊(duì)公交集團(tuán)交通應(yīng)用模型交通管理相關(guān)部門輔助決策數(shù)據(jù)支持車位使用 停車誘導(dǎo)模型交通需求 狀態(tài)預(yù)測(cè)模型交通運(yùn)行 仿真評(píng)價(jià)模型交通控制宏觀策略模型綜合運(yùn)行指揮調(diào)度其他單位港口/鐵路案例名稱：某交通運(yùn)行管理平臺(tái)開發(fā)語(yǔ)言：前端為PHP語(yǔ)言, 后端為Java語(yǔ)言業(yè)務(wù)概述：主要用于向社會(huì)公眾提供交通出行服務(wù)以及向政府部門提供交通調(diào)度指揮與管理輔助決策。技術(shù)框架：主要通過(guò)面向通用集成服務(wù)的、松耦合的SOA架構(gòu)實(shí)現(xiàn)方式構(gòu)建業(yè)務(wù)模塊。測(cè)試效果：定位了SQL注入、硬編碼密碼、跨站腳本、 跨站請(qǐng)求偽造、未限制危險(xiǎn)類型文件上傳、路徑遍歷等 安全問(wèn)題。源代碼安全測(cè)試案例 3案例名稱 ：某云審計(jì)平臺(tái)開發(fā)語(yǔ)言：Java業(yè)務(wù)概述：主要應(yīng)用于開展聯(lián)網(wǎng)審計(jì)、數(shù)據(jù)分析、審計(jì)監(jiān)控、審計(jì)預(yù)警業(yè)務(wù)的基礎(chǔ)性平臺(tái)。技術(shù)框架：主要通過(guò)面向通用集成服務(wù)的、松耦 合的SOA架構(gòu)實(shí)現(xiàn)方式構(gòu)建業(yè)務(wù)模塊。測(cè)試效果：定位了代碼注入、命令注入、硬編碼 密碼、跨站腳本、路徑遍歷、點(diǎn)擊劫持等安全問(wèn) 題。應(yīng)用軟件安全新趨勢(shì)安全技術(shù)新趨勢(shì)云 安全外包，數(shù)據(jù)保護(hù)，容器安全移勱 認(rèn)證， 病毒，個(gè)人信息和隱私