XXX企业源代码安全测试方案建议书教学提纲

1、中国 XXXX 企业软件安全测试技术建议方案一、信息安全的现状确保计算机系统和应用免受侵入和破坏是管理商业风险最为重要的一部分,每年企业都花了数百万美元的成本在计算机软件 , 硬件和服务方面去保护他们的 IT 系统 ,数据免受诸如病毒 . worms, , 黑客攻击，我们期望花更多的预算去减轻我们商业应用系统的信息安全， 但是结果并不是我们想象的那样， 现目前我们的信息系统仍然处在不安全的境地，据 IDC 的统计，至少有 75% 的企业发现他们的系统被黑客成功地攻击过。 我们已经建立了非常完善的认证系统、 网络安全系统、入侵检测的防范措施， 为什么我们的系统还是处在不安全的境地呢？通过全球的一

2、些信息安全专家的调查和分析， 他们得出这样一个结论： 目前我们信息安全的主要问题：是应用软件安全问题，而不是我们通常所认为的网络问题，操作系统问题 .。 这下面是来自 Gartner Group和 NIST 的分析报告。“ Over 75% of security vulnerabilities exist at the application layer, not thenetwork layer. It s not just operating systems or web browsers, but all types ofapplications - particularly appl

3、ications that automate key business processes.”-Gartner Group 200892% of reported vulnerabilities are inapplications, not networks0% 1% 2%2% 3%Encryption ModuleNetwork Protocol Stack15%41%36%Source: NISTOtherCommunication ProtocolHardwareOperating SystemNon-Server ApplicationsServer Applications因此，应

4、用软件的自身的安全问题是我们信息安全领域最为关心的问题， 也是我们面临的一个新的领域， 需要我们所有的在应用软件开发和管理的各个层面的成员共同的努力来完成。二、中国XXXX 企业的软件安全现状中国 XXXX 企业是目前的应用软件开发主要采取软件外包和自主研发相结合的模式，对于中国 XXXX 企业来讲，应用软件自身的安全问题，也是一个几乎全新的领域，但是他们已经意识到这是他们下一阶段为确保信息安全必须要做的一个非常重要的事情， 在我们与他们前期的交流中我们了解到目前他们在实现开发应用安全软件方面还存在如下一些问题：1 、 外包团队和公司的研发团队对于开发安全的应用软件的意识不浓和知识不足。许多已

5、经被 OWASP 、ISO17799 、PCI 等信息安全组织标识为严重软件安全漏洞的问题了解不足，或者了解深度不够，从而造成他们在编码的时候没有考虑到部分软件安全漏洞或者在安全漏洞的预防方面不够彻底和 充 分，因此 在他 们的 应用系统 中存 在着 许多 诸如 SQL-injection,Cross-site-Script的软件安全漏洞。2 、 没有完善的应用软件安全的审计策略和措施。由于缺少应用软件安全保护方面的知识，因此目前对于外包团队的项目进行软件安全审计的时候不知道在在软件的安全方面具体要审核那些内容，以及如何去预防这些漏洞，现目前也没有借助一些自动化的工具，因此对应用软件的原代码审

6、计只能采用人工的方式，显得费时费力，并且效率低下，很多漏洞都未能检查到，迫切需要一种新的安全审计策略和措施来加强软件安全的审计问题。3 、没有应用安全信息的管理平台没有一个集中的应用安全信息管理平台供开发人员、审计人员和管理层交流，不便于内部对与软件项目的安全风险进行收集、处理、分析和预测和评估。三、 Fortify Software简介Fortify Software 2003年由 Kleiner Perkin Claufield& Byers风险基金投资成立，总部设在美国加州硅谷。 Fortify Software 是世界上第一个提出软件安全新理念的公司，并于 2004 年推出业界第一款产

7、品。 公司 CTO 兼创始人 Mr RogerThornton 是世界软件安全这一新领域的主要缔造者， 公司另一创始人 Dr Brian Chess 是世界级安全专家。 Fortify Software 的产品主要为软件源代码扫描器，软件应用监控， 渗透测试覆盖率检测等。 公司拥有 150 多项专利，居行业之首。目前全球已有600 家客户，其中银行，保险，证券占一半以上。全球8 大银行如汇丰，花旗，WellsFargo ， Morgan 已全部采用 Fortify Software 的解决方案。其他领域的客户为电子商务类的 eBay, Google, 软件厂商 Oracle ，Microsof

8、t 和 EMC 等以及政府部门。 2008 年 4 月 Fortify Software 在中国设立了北京代表处，并对产品的关键内容进行了汉化。Fortify software部分中国客户名单国内的主要客户：四、Fortify Software公司应用软件安全开发和管理方案软件源代码安全扫描、审计和管理方案Fortify Software 公司的应用软件安全开发和管理方案为应用软件开发的组织和安全审计的人员和应用安全管理人员提供工具和确立最佳的应用软件安全实践和策略，帮助他们在软件开发的生命周期中以最短的时间、 花最少的成本去识别和修复软件的安全隐患。其产品组成如下：Fortify Sourc

9、e Code Analysis suite（SCA ）包含：A.Fortify Source Code Analysis Engine（源代码分析引擎）采用数据流分析引擎，语义分析引擎，结构分析引擎，控制流分析引擎，配置分析引擎和特有的X-Tier跟踪器从不同的方面查看代码的安全漏洞，最大化降低代码安全风险。B.Fortify Secure Code rules：Fortify（软件安全代码规则集）采用国际公认的安全漏洞规则和众多软件安全专家的建议，辅助软件开发人员、安全人员和管理人员快速掌握软件安全知识、 识别软件安全漏洞和修复软件安全漏洞。其规则的分类和定义被众多国际权威机构采用，包括美国

10、国土安全（CWE ）标准、OWASP ，PCI等。C.Fortify Audit Workbench（安全审计工作台）辅助开发人员、安全审计人员对Fortify Source Code Analysis Engines（源代码分析引擎）扫描结果进行快速分析、查找、定位和区分软件安全问题严重级别。D.Fortify Rules Editor（安全规则构建器）提供自定义软件安全代码规则功能， 满足特定项目环境和企业软件安全的需要。E.Fortify SCA plug in（Fortify SCA IDE集成开发插件）Eclipse, Visual Studio, RAD集成开发环境中的插件，便于开

11、发者在编写代码过程中可以直接使用工具扫描代码，立刻识别代码安全漏洞，并立即根据建议修复，消除安全缺陷在最初的编码阶段，及早发现安全问题，降低安全问题的查找和修复的成本。Fortify 360 Server （软件安全管理器）基于 WEB 企业用户接口的软件安全信息存储 分析 评估和报告的软件安全管理平台 .主要功能是定义和监视软件安全策略、 跟踪和报告软件安全趋势、跨多个应用管理软件安全风险。公司的管理层可以通过对目前商业应用系统的分析而得出应用软件的安全策略，安全的策略使用管理平台进行管理和跟踪， 安全的审计人员在贯彻公司的安全策略的同时， 通过配置或者自定义软件安全规则来达到策略的要求，

12、并为开发团队或者外包团队员提供安全代码规范， 当开发人员在开发代码时， 使用源代码扫描工具自动识别安全漏洞并修复它，并向审计人员提供已经开发完的源代码，审计人员审核代码是否合乎公司的安全代码规范和安全策略， 并上传报告给公司的管理层。五、建议实施方案根据目前的软件项目开发和软件测试状况，Fortify 公司相信， Fortify 完整的安全测试解决方案和多年的部署实施经验，一定能帮助中国XXXX 企业解决软件安全的问题。根据多年的客户实施经验，我们推荐中国XXXX 企业采用以下实施方案：方案概要：(1) 使用 Fortify SCA+360 Server+Collaboration Modul

13、e建立软件源代码安全审计模式产品部署及使用角色设置方案方案目的 ：本方案通过建立一套完整的安全测试审计制度，减少由不规范、不安全的编码而产生的安全性漏洞，来真正地帮助中国 XXXX 企业提高其 IT 应用系统的质量和安全性，提高源代码安全开发，测试及安全管理水平。使用模式： Gate 审计模式：根据 Fortify 对中国 XXXX 企业目前软件开发项目流程的了解， 结合 Fortify 多年来为全球客户成功实施部署的经验， Fortify 建议 XXXX 企业实施“ Gate ”模式的审计方式，即在验收测试阶段引入安全测试，大部分 Fortify 的中国客户最初都是使用这种模式。具体如下：S

14、CA 源代码扫描需求分析架构设计编码功能 /验收测试QA/ 性能测试发布图 1：Fortify SCA 审计模式示意图“ Gate ”审计模式说明：软件安全测试或审计人员通过代码版本控制器，把开发人员提交的项目代码的阶段版本，用 Fortify SCA 进行扫描分析，并给予审计。审计人员将项目的审计结果报告于开发人员（或外包商）对其漏洞进行修复。审计通过的项目进入下一阶段的其它测试或者正常阶段发布。(4) 审计人员将每一次扫描审计的结果发布于Fortify 360 Server 中，便于管理人员查看漏洞，了解项目漏洞程度，安全趋势等综合状况信息。同时，结合Fortify 360 Server的

15、 Collaboration Module功能，开发人员（外包商），审计人员，安全管理人员可以通过Web 方式查看到 SCA 的扫描结果以及审计状态等详细信息，方便对安全漏洞的查看，交流，沟通工作以及代码的修改。六、 FortifySoftware应用软件安全方案给中国XXXX 企业带来的价值1、 丰富而全面软件安全代码规范及其文档资料弥补中国XXXX 企业开发人员和管理人员应用软件安全知识不足，让大家尽快了解各种软件安全漏洞的成因和修复方法。2、 使用 Fortify software 公司的 SCA 大大节约了开发人员和审计人员在识别软件漏洞和修复安全漏洞的时间。3、 对于软件外包的项目，能快速识别项目风险，防止外包团队成