大型企業(yè)源代碼安全解決之道

1、大型企業(yè)源代碼安全解決之道應(yīng)用軟件安全是企業(yè)安全的根本重要性和挑戰(zhàn)性全球軟件規(guī)模和應(yīng)用高速擴(kuò)展2017 Cybercrime Report ，Cybersecurity Ventures軟件和產(chǎn)品安全挑戰(zhàn)不斷升級2017 Cybercrime Report ，Cybersecurity Ventures應(yīng)用軟件持續(xù)成為黑客攻擊的熱點Verizon 2018 Data Breach Investigations Report確認(rèn)的數(shù)據(jù)泄露中，資產(chǎn)種類最多的排名 (n=2,023)每個模式的泄露百分比和次數(shù) (n=2,023)源代碼安全造成的重大數(shù)據(jù)泄露 Uber 2016用明文登陸信息竊取AWS

2、 上 5700萬沒有加密的Uber用戶個人數(shù)據(jù)獲取 GitHub上Uber源代碼中硬編碼的Uber接入AWS的明文登錄信息兩個黑客入 侵 GitHub 接入Uber源代碼軟件安全和每個企業(yè)每個人息息相關(guān)資產(chǎn) 成本產(chǎn)權(quán)保護(hù)規(guī)則審查法律 訴訟客戶保留軟件 安全供應(yīng)關(guān)系合作關(guān)系企業(yè) 運作大型企業(yè)應(yīng)用軟件安全的挑戰(zhàn)1規(guī)模2復(fù)雜度3效率4效用5治理應(yīng)用數(shù)量應(yīng)用類型掃描速度結(jié)果覆蓋率策略和法規(guī)代碼數(shù)量編程語言類型掃描容量結(jié)果質(zhì)量流程和規(guī)則開發(fā)人員數(shù)量技術(shù)類型系統(tǒng)資源修復(fù)速度檢測和監(jiān)測團(tuán)隊數(shù)量編譯環(huán)境工具安裝和使用工具性價比團(tuán)隊建設(shè)業(yè)務(wù)數(shù)量團(tuán)隊架構(gòu)和文化工作流程集成環(huán)境流程集成指標(biāo), 趨勢, 報告應(yīng)用軟件和

3、產(chǎn)品的安全現(xiàn)況30%77%14%The State of Software Security Today 2017， Veracode大型企業(yè)應(yīng)用軟件安全解決之道戰(zhàn)略性和戰(zhàn)術(shù)性解決方案的重要因素關(guān)口前移, 防患于未然中國國家標(biāo)準(zhǔn)推動應(yīng)用軟件安全GBT-284522012信息安全技術(shù)-應(yīng)用軟件系統(tǒng)通用安全技術(shù)要求信 息 系 統(tǒng)應(yīng) 用 軟 件 系 統(tǒng)應(yīng)用軟件系統(tǒng) 1應(yīng)用軟件系統(tǒng) n系統(tǒng)軟件（操作系統(tǒng), 數(shù)據(jù)庫系統(tǒng), 網(wǎng)絡(luò)系統(tǒng)軟件)系統(tǒng)硬件(計算機(jī), 網(wǎng)絡(luò)的硬件系統(tǒng)及設(shè)備, 設(shè)施, 環(huán)境等)應(yīng)用軟件系統(tǒng)安全是信息系 統(tǒng)安全的核心應(yīng)用軟件系統(tǒng)安全需求就是 信息系統(tǒng)的安全需求C/C+ 語言源代碼漏洞測試

4、規(guī)范Java 語言源代碼漏洞測試規(guī)范C# 語言源代碼漏洞測試規(guī)范大型企業(yè)應(yīng)用安全框架 (OWASP SAMM)軟件開發(fā)SAMM 概貌業(yè)務(wù)功能治理構(gòu)造驗證部署安全實踐戰(zhàn)略 & 指標(biāo)政策 & 合規(guī)教育 & 指導(dǎo)威脅評估安全要求安全結(jié)構(gòu)設(shè)計復(fù)審執(zhí)行復(fù)審安全測試問題管理環(huán)境強(qiáng)化運行環(huán)境2.0DevOps建造 & 部署安全建造安全部署缺陷管理Build & Deploy應(yīng)用安全的具體實施策略和法規(guī)安全法規(guī)：應(yīng)用軟件系統(tǒng)安全國標(biāo), PCI,HIPPA, 網(wǎng)絡(luò)安全法, 密碼法安全政策：數(shù)據(jù), 風(fēng)險, 應(yīng)用分級；批準(zhǔn)的加密 算法和實現(xiàn), 工具, 功能庫安全標(biāo)準(zhǔn)和指南：國家源代碼漏洞測試規(guī)范,CWE, CVE,

5、 OWASP, 等培訓(xùn)和指南課程：核心安全，代碼標(biāo)準(zhǔn)，不安全功能， 威脅建模， 安全設(shè)計，靜態(tài)分析，勱態(tài)分析，入侵測試， 安全測試， 等等方式：網(wǎng)上，課室分析和檢測安全需求，風(fēng)險建模，攻擊面分析安全設(shè)計， 測試工具選擇和定制同行代碼檢測，關(guān)聯(lián)程序庫安全分析， 靜態(tài)和勱態(tài)分析流程和管控安全流程實現(xiàn)策略， 開發(fā)流程集成安全漏洞數(shù)量， 分析數(shù)據(jù)和報告外部軟件供應(yīng)商安全規(guī)范企業(yè)應(yīng)用建庫管理風(fēng)險分析和控制風(fēng)險分析， 安全問題分類排級企業(yè)整體安全報告：及時，全面，一目了然及時調(diào)整安全策略操作和執(zhí)行應(yīng)用安全中心集中定義流程業(yè)務(wù)線執(zhí)行團(tuán)隊服務(wù)和資訊緊急情況應(yīng)對措施實施安全自勱化安全軟件開發(fā)周期實際應(yīng)用需求開發(fā)

6、創(chuàng)建質(zhì)量橫梁評估安全風(fēng)險培訓(xùn)核心安全培訓(xùn)發(fā)布設(shè)計建立設(shè)計需求攻擊面分析和縮減建立安全需求 威脅建模應(yīng)用認(rèn)可工具刪除不安全的 功能施行靜態(tài)分析驗證施行勱態(tài)分析施行模糊測試復(fù)審攻擊面創(chuàng)建事件應(yīng)對 方案最后安全復(fù)審批準(zhǔn)發(fā)行存檔應(yīng)對執(zhí)行事件應(yīng)對 方案源代碼安全是產(chǎn)品安全的根源預(yù)防性和有效性應(yīng)用安全的預(yù)防和保護(hù)方法IBM Security代碼測試主動預(yù)防運行監(jiān)測應(yīng)對保護(hù)預(yù) 防 為 基 礎(chǔ)保 護(hù) 為 輔 劣以預(yù)防為主源代碼安全的有效性培訓(xùn)需求設(shè)計開發(fā)驗證發(fā)布應(yīng)對1x3x5x10 x早發(fā)現(xiàn)早解決安全問題減少成本30 x100 x機(jī)器測試和專家知識相結(jié)合的服務(wù)流程工具專家咨詢輔助測試分析報告修正自動源代碼安全

7、測試靜態(tài), 勱態(tài), 和互勱測試支持源代碼和二進(jìn)制代碼掃描檢查安全漏洞和質(zhì)量缺陷支持多種程式語言, 應(yīng)用, 規(guī)范支持代碼交付, VPN連接, 和現(xiàn) 場測試方法測試結(jié)果分析安全漏洞分類和排級質(zhì)量缺陷分類和排級安全和質(zhì)量編碼規(guī)范分析測試結(jié)果分流和復(fù)審整體風(fēng)險評估測試分析報告整體安全風(fēng)險總結(jié)分類安全漏洞儀表板安全規(guī)范合規(guī)比分具體安全漏洞列表安全漏洞影響評估修正源代碼幫劣開發(fā)人員理解問題根源輔劣開發(fā)人員修補漏洞培植軟件安全編程最佳實踐培訓(xùn)軟件安全理念和方法交流軟件安全規(guī)范和指南測試工具自動化幫助提高效率源代碼安全測試案例 1案例名稱：某警務(wù)管家開發(fā)語言：Java業(yè)務(wù)概述：主要應(yīng)用于民警個人手機(jī)和移動互聯(lián)

8、網(wǎng)的內(nèi)部 即時通訊，實現(xiàn)與公安業(yè)務(wù)系統(tǒng)的對接，作為全局各警種和 基層單位共用的基礎(chǔ)平臺。技術(shù)框架：包括提供應(yīng)用與業(yè)務(wù)的SAAS層、提供各種支撐 組件與框架的PAAS層和提供基礎(chǔ)設(shè)施的IAAS層3個部分的云 計算架構(gòu)。測試效果：定位了跨站腳本攻擊、敏感數(shù)據(jù)未加密、硬編 碼密碼、未限制危險類型文件上傳、拒絕服務(wù)攻擊、權(quán)限控 制不當(dāng)導(dǎo)致的不當(dāng)資源訪問等安全問題。源代碼安全測試案例 2業(yè)務(wù)服務(wù)智能停車 管理誘導(dǎo)交通出行 網(wǎng)絡(luò)支付視頻接入 綜合處理交通運行 仿真評價交通環(huán)境 污染監(jiān)測大交通數(shù)據(jù) 信息庫綠色交通指標(biāo)體系大交通數(shù)據(jù)采集匯聚、融合及分析處理交通元數(shù)據(jù)信息交通靜態(tài)數(shù)據(jù)交通動態(tài)數(shù)據(jù)分析生成數(shù)據(jù) 普

9、通出行者云 中 心 基 礎(chǔ) 支 撐 資 源交通運輸局交警支隊公交集團(tuán)交通應(yīng)用模型交通管理相關(guān)部門輔助決策數(shù)據(jù)支持車位使用 停車誘導(dǎo)模型交通需求 狀態(tài)預(yù)測模型交通運行 仿真評價模型交通控制宏觀策略模型綜合運行指揮調(diào)度其他單位港口/鐵路案例名稱：某交通運行管理平臺開發(fā)語言：前端為PHP語言, 后端為Java語言業(yè)務(wù)概述：主要用于向社會公眾提供交通出行服務(wù)以及向政府部門提供交通調(diào)度指揮與管理輔助決策。技術(shù)框架：主要通過面向通用集成服務(wù)的、松耦合的SOA架構(gòu)實現(xiàn)方式構(gòu)建業(yè)務(wù)模塊。測試效果：定位了SQL注入、硬編碼密碼、跨站腳本、 跨站請求偽造、未限制危險類型文件上傳、路徑遍歷等 安全問題。源代碼安全測試案例 3案例名稱 ：某云審計平臺開發(fā)語言：Java業(yè)務(wù)概述：主要應(yīng)用于開展聯(lián)網(wǎng)審計、數(shù)據(jù)分析、審計監(jiān)控、審計預(yù)警業(yè)務(wù)的基礎(chǔ)性平臺。技術(shù)框架：主要通過面向通用集成服務(wù)的、松耦 合的SOA架構(gòu)實現(xiàn)方式構(gòu)建業(yè)務(wù)模塊。測試效果：定位了代碼注入、命令注入、硬編碼 密碼、跨站腳本、路徑遍歷、點擊劫持等安全問 題。應(yīng)用軟件安全新趨勢安全技術(shù)新趨勢云 安全外包，數(shù)據(jù)保護(hù)，容器安全移勱 認(rèn)證， 病毒，個人信息和隱私