大型企业源代码安全解决之道

1、大型企业源代码安全解决之道应用软件安全是企业安全的根本重要性和挑战性全球软件规模和应用高速扩展2017 Cybercrime Report ，Cybersecurity Ventures软件和产品安全挑战不断升级2017 Cybercrime Report ，Cybersecurity Ventures应用软件持续成为黑客攻击的热点Verizon 2018 Data Breach Investigations Report确认的数据泄露中，资产种类最多的排名 (n=2,023)每个模式的泄露百分比和次数 (n=2,023)源代码安全造成的重大数据泄露 Uber 2016用明文登陆信息窃取AWS

2、 上 5700万没有加密的Uber用户个人数据获取 GitHub上Uber源代码中硬编码的Uber接入AWS的明文登录信息两个黑客入 侵 GitHub 接入Uber源代码软件安全和每个企业每个人息息相关资产 成本产权保护规则审查法律 诉讼客户保留软件 安全供应关系合作关系企业 运作大型企业应用软件安全的挑战1规模2复杂度3效率4效用5治理应用数量应用类型扫描速度结果覆盖率策略和法规代码数量编程语言类型扫描容量结果质量流程和规则开发人员数量技术类型系统资源修复速度检测和监测团队数量编译环境工具安装和使用工具性价比团队建设业务数量团队架构和文化工作流程集成环境流程集成指标, 趋势, 报告应用软件和

3、产品的安全现况30%77%14%The State of Software Security Today 2017， Veracode大型企业应用软件安全解决之道战略性和战术性解决方案的重要因素关口前移, 防患于未然中国国家标准推动应用软件安全GBT-284522012信息安全技术-应用软件系统通用安全技术要求信 息 系 统应 用 软 件 系 统应用软件系统 1应用软件系统 n系统软件（操作系统, 数据库系统, 网络系统软件)系统硬件(计算机, 网络的硬件系统及设备, 设施, 环境等)应用软件系统安全是信息系 统安全的核心应用软件系统安全需求就是 信息系统的安全需求C/C+ 语言源代码漏洞测试

4、规范Java 语言源代码漏洞测试规范C# 语言源代码漏洞测试规范大型企业应用安全框架 (OWASP SAMM)软件开发SAMM 概貌业务功能治理构造验证部署安全实践战略 & 指标政策 & 合规教育 & 指导威胁评估安全要求安全结构设计复审执行复审安全测试问题管理环境强化运行环境2.0DevOps建造 & 部署安全建造安全部署缺陷管理Build & Deploy应用安全的具体实施策略和法规安全法规：应用软件系统安全国标, PCI,HIPPA, 网络安全法, 密码法安全政策：数据, 风险, 应用分级；批准的加密 算法和实现, 工具, 功能库安全标准和指南：国家源代码漏洞测试规范,CWE, CVE,

5、 OWASP, 等培训和指南课程：核心安全，代码标准，不安全功能， 威胁建模， 安全设计，静态分析，劢态分析，入侵测试， 安全测试， 等等方式：网上，课室分析和检测安全需求，风险建模，攻击面分析安全设计， 测试工具选择和定制同行代码检测，关联程序库安全分析， 静态和劢态分析流程和管控安全流程实现策略， 开发流程集成安全漏洞数量， 分析数据和报告外部软件供应商安全规范企业应用建库管理风险分析和控制风险分析， 安全问题分类排级企业整体安全报告：及时，全面，一目了然及时调整安全策略操作和执行应用安全中心集中定义流程业务线执行团队服务和资讯紧急情况应对措施实施安全自劢化安全软件开发周期实际应用需求开发

6、创建质量横梁评估安全风险培训核心安全培训发布设计建立设计需求攻击面分析和缩减建立安全需求 威胁建模应用认可工具删除不安全的 功能施行静态分析验证施行劢态分析施行模糊测试复审攻击面创建事件应对 方案最后安全复审批准发行存档应对执行事件应对 方案源代码安全是产品安全的根源预防性和有效性应用安全的预防和保护方法IBM Security代码测试主动预防运行监测应对保护预 防 为 基 础保 护 为 辅 劣以预防为主源代码安全的有效性培训需求设计开发验证发布应对1x3x5x10 x早发现早解决安全问题减少成本30 x100 x机器测试和专家知识相结合的服务流程工具专家咨询辅助测试分析报告修正自动源代码安全

7、测试静态, 劢态, 和互劢测试支持源代码和二进制代码扫描检查安全漏洞和质量缺陷支持多种程式语言, 应用, 规范支持代码交付, VPN连接, 和现 场测试方法测试结果分析安全漏洞分类和排级质量缺陷分类和排级安全和质量编码规范分析测试结果分流和复审整体风险评估测试分析报告整体安全风险总结分类安全漏洞仪表板安全规范合规比分具体安全漏洞列表安全漏洞影响评估修正源代码帮劣开发人员理解问题根源辅劣开发人员修补漏洞培植软件安全编程最佳实践培训软件安全理念和方法交流软件安全规范和指南测试工具自动化帮助提高效率源代码安全测试案例 1案例名称：某警务管家开发语言：Java业务概述：主要应用于民警个人手机和移动互联

8、网的内部 即时通讯，实现与公安业务系统的对接，作为全局各警种和 基层单位共用的基础平台。技术框架：包括提供应用与业务的SAAS层、提供各种支撑 组件与框架的PAAS层和提供基础设施的IAAS层3个部分的云 计算架构。测试效果：定位了跨站脚本攻击、敏感数据未加密、硬编 码密码、未限制危险类型文件上传、拒绝服务攻击、权限控 制不当导致的不当资源访问等安全问题。源代码安全测试案例 2业务服务智能停车 管理诱导交通出行 网络支付视频接入 综合处理交通运行 仿真评价交通环境 污染监测大交通数据 信息库绿色交通指标体系大交通数据采集汇聚、融合及分析处理交通元数据信息交通静态数据交通动态数据分析生成数据 普

9、通出行者云 中 心 基 础 支 撑 资 源交通运输局交警支队公交集团交通应用模型交通管理相关部门辅助决策数据支持车位使用 停车诱导模型交通需求 状态预测模型交通运行 仿真评价模型交通控制宏观策略模型综合运行指挥调度其他单位港口/铁路案例名称：某交通运行管理平台开发语言：前端为PHP语言, 后端为Java语言业务概述：主要用于向社会公众提供交通出行服务以及向政府部门提供交通调度指挥与管理辅助决策。技术框架：主要通过面向通用集成服务的、松耦合的SOA架构实现方式构建业务模块。测试效果：定位了SQL注入、硬编码密码、跨站脚本、 跨站请求伪造、未限制危险类型文件上传、路径遍历等 安全问题。源代码安全测试案例 3案例名称 ：某云审计平台开发语言：Java业务概述：主要应用于开展联网审计、数据分析、审计监控、审计预警业务的基础性平台。技术框架：主要通过面向通用集成服务的、松耦 合的SOA架构实现方式构建业务模块。测试效果：定位了代码注入、命令注入、硬编码 密码、跨站脚本、路径遍历、点击劫持等安全问 题。应用软件安全新趋势安全技术新趋势云 安全外包，数据保护，容器安全移劢 认证， 病毒，个人信息和隐私