源代码安全风险评估服务介绍

源代码安全风险评估服务

服务背景

软件源代码的安全性越来越重要，黑客越来越趋向利用软件代码的安全漏洞

攻击系统，几乎75%的黑客攻击事件与软件代码安全相关。为了加强软件源代码

的安全性，由内而外解决企业面临的代码安全挑战。神州数码联合业界代码安全

风险评估产品（以色列：Checkmarx）,帮助软件企业和项目降低软件安全风险,

提高软件代码的安全性,提供灵活方便的源代码安全风险评估服务.本服务主要

帮助企业查找和分析已有的软件源代码,识别其安全风险,并提供详细的分析和

修复建议,帮助企业尽快尽早修复软件代码的安全缺陷,保障系统的安全性,从而

保护企业核心软件的安全性,保护企业信息系统资产及正常的信息化服务.

Checkmarx成立于2006年，其发展愿景是为自动安全代码审核提供综合解决方

案。该公司开创了基于查询语言的用于跟踪技术和逻辑代码漏洞的解决方案理

念。 Checkmarx一直被高德纳咨询公司认定为其最新静态应用程序安全性测试（SAST）Magic Quadrant中的唯一概念设计商和2010应用软件安全的“优秀”销售商。

成功案例：

世界范围客户：全美银行、公司、新闻集团、道琼斯公司、雅高酒店

及里德爱思唯尔集团…

中国区客户：国家电网、上海软件测试中心、北京大学、北京信息安全测试与评估中

心、信息技术安全国家研究中心(NRCITS)、计算机软件技术上海开发中心、清华大学…

服务概述

软件源代码是软件需求、设计和实现的最终载体,源代码安全风险评估发现代码构造期间引入实现级别的安全漏洞，并为这些编码错误建议补救措施。源代码安全风险评估对现有代码库进行分析，并对导致安全漏洞的代码构造进行定位。包括但不限于OWASP Top 10、PCI 、CWE、CVE、SANS20、SOX 等国际权威组织公布的软件安全漏洞。（OWASP Top 10主要的安全漏洞枚举）

我们的专业安全团队将静态分析工具和专家手动审查相结合来尽可能揭示所有的可能存在的安全漏洞。

支持源代码安全风险评估的语言

–Java、JSP、JavaSript、 VBSript、C# 、 、、 VB6、C/C++ 、ASP 、 PHP, Ruby、Android 、APEX (AppExchange platform)、

API to 3rd party languages

使用的工具

–以色列优秀的静态源代码安全风险评估工具-Checkmarx CxEnterprise

分析的流程

运用三步走的方法来执行源代码安全风险评估：

◆确定源代码安全风险评估的审查目标

◆使用Checkmarx CxEnterprise 执行初步扫描并分析安全问题

结果

◆审查应用程序的架构所特有的代码安全问题

在第一步中，我们使用威胁建模（如果可用）的结果以及对用于

构建该应用的架构和技术的理解，其目标就是寻求一系列的安全漏洞

的风险表现形式。在初步检查过程中，我们将结合静态分析和轻量级

的人工审查来确定代码中关键点-很可能包含了更多漏洞的地方，初

始扫描使我们能够优先考虑风险最高的区域。

在审查主要代码过程中，我们的源代码安全分析人员对代码进

行彻底审查来寻找常见安全问题，比如大家熟悉的缓冲区溢出、跨

站点脚本，SQL注入等。最终审查用于调查本应用程序架构所特有的

问题，一般表现为威胁建模或安全特征中出现的威胁，如自定义身

份验证或授权程序等。

可交付材料

源代码安全风险评估的目标文档描述了这些内容：

●针对对黑客感兴趣的资产、代码实现上的错误，这些错误将危及

这些资产的安全，以及在使用的技术和编程语言中常见错误；

●针对每一个已经识别漏洞的报告，包括所发现漏洞的概述、影响

和严重性以及再现该漏洞的步骤和可用于修复该漏洞缺限的补

救措施建议；

●最终源代码安全风险评估报告详细说明本次风险评估结果、成果

和整体印象、审查期间发现的问题、进行额外审查的建议，以及

针对已确定漏洞进行补救的建议。

服务的方式：

A.客户现场服务

神州信息服务工程师将产品安装客户服务器上，并派技术人员在客户的应用程序中执行代码安全风险评估

服务名称服务期限服务描述服务费用备注

现场源代码安全扫描服务15天Checkmarx源代

码安全产品可以

被使用两周，在

一个项目上执行

多次扫描

12万技术人员现场安

装产品并辅助器

分析代码安全漏

洞，撰写风险评

估报告

30天Checkmarx源代

码安全产品可以

被使用30天，在

多个项目上执行

多次扫描，不限

制项目数量

20万技术人员现场安

装产品并辅助器

分析代码安全漏

洞，撰写风险评

估报告

一年Checkmarx源代

码安全产品可以

被使用1年，在

多个项目上执行

多次扫描，不限

制项目数量

30万技术人员现场安

装产品，并在必

要时提供该产品

的使用过程中的

技术支持和相关

问题的答疑和咨

询。

B.云服务

神州信息服务SBU在技术服务中心部署一台基于云服务的代码安全扫描服务器，客户通过internet网络使用授权帐号使用代码安全扫描服务。（后台部署中，具体开通时间待定）

服务名称服务期限服务描述服务费用备注

网络扫描服务：单个用户账号租用15天Checkmarx源代

码安全扫描账号

可以被使用两

周，在一个项目

5万客户使用神州信

息服务伙伴提供

的网络账户，通

过internet直