【文章內(nèi)容簡介】 去評估代碼，只要模式匹配或者相似就報出來。要人工去分辨出其中的真假，主要存在的問題： – False positive（誤報） – False negative（漏報） 出現(xiàn)上述問題的原因是： 在作靜態(tài)分析時，要先描繪出代碼所有的路徑，然后去對每種路徑上的變量作計算，并比較。基于語法的解析路徑是可以描繪出路徑來的，但要計算每個路徑上的變量在使用前后的值，并跟蹤 ,目前采用 的算法幾乎不可能，就是上面的程序也要花費相當長的時間，幾乎無法接受。因此目前許多靜態(tài)工具只是把感染的路徑找到，但不計算和不作比較，要借助人工去分辨所有可能的情況，這就是誤報率非常高的原因。 在小量的代碼前提下，簡單的代碼將不是問題，也是可以接受的。但是，如果是大量的代碼，復雜的代碼，傳統(tǒng)的 審計 技術(shù)將幾乎不可行，因為它將大量浪費開發(fā)和安全審計人員的時間，有時人眼也無能為力。 代碼審計產(chǎn)品簡介 選用的 靜態(tài)源代碼安全漏洞 審計 和管理方案是業(yè)界最全面的、綜合的源代碼安全 審計 和管理方案，該方案提供用戶、角色和團隊 管理、權(quán)限管理、 審計結(jié)果管理、 審計 調(diào)度和自動化管理、 審計 資源管理、查詢規(guī)則管理、 審計 策略管理、更新管理、報表管理等多種企業(yè)環(huán)境下實施源代碼安全 審計 和管理功能。最大化方便和節(jié)約了企業(yè)源代碼安全開發(fā)、 審計 、審計和風險管理的成本和開銷。其無與倫比的準確性和方便的企業(yè)部署和實施的特性贏得了全球眾多客戶的青睞。比如 、道瓊斯（新聞集團）、雅高、 NDS 公司、美國陸軍、 Amdocs 等都在采用這種新一代的靜態(tài)分析技術(shù)做源代碼安全檢測和風 險評估。至今， 改代碼審計產(chǎn)品 的客戶量數(shù)目龐大，其中包括涉及電信 、金融銀行、保險、汽車、媒體娛樂、軟件、服務和軍事等行業(yè)的財富 1000 的企業(yè)。2020 年 4 月 15 日 該產(chǎn)品 被全球領先的行業(yè)分析公司 Gartner 評為 “ 2020 年度最酷應用安全供應商 ” 。 代碼審計工具 功能及特性 操作系統(tǒng)獨立 代碼 審計 不依賴于特定操作系統(tǒng)，只在在企業(yè)范圍內(nèi)部署一臺 審計 服務器，就可以 審計 其它操作系統(tǒng)開發(fā)環(huán)境下的代碼，包括但不限于如下操作系統(tǒng)Windows、 Linux、 AIX， HPUnix, Mac OS, Solaris,無在每種平臺安裝相應的版本 ,節(jié)約相關平臺的軟硬件成本。 編譯器獨立、開發(fā)環(huán)境獨立，搭建測試環(huán)境簡單快速且統(tǒng)一 由于采用了獨特的虛擬編譯器技術(shù)，代碼 審計 不要依賴編譯器和開發(fā)環(huán)境，無為每種開發(fā)語言的代碼安裝編譯器和測試環(huán)境，只要通過 客戶端 、瀏覽器、開發(fā)環(huán)境 服務 插件登錄到 管理應用 Application 服務器，提供本地代碼 審計 代碼的目錄、遠程代碼目錄、和版本管理代碼目錄（ Subversion、 CVS， ClearCase即可， 審計 代碼無通過編譯過程。搭建測試環(huán)境快速簡單，無像其它的靜態(tài)分析工具，在相應的操作系統(tǒng)上安裝相應的工具軟件包，安裝眾多開發(fā)工具和代碼依賴的 第三方庫及軟件包、 安全服務 代碼通過編譯，方可進行測試。安裝一次，即可 審計 Java 代碼、 C/C++代碼、 .NET 代碼 JSP、 JavaSript、 VBSript、 .、C 、 、 、 VB ASP 、 Perl、 Apex VisualForce,Android、OWASP ESAPI、 MISRA、和 ObjectiveC (iOS)? 等各種語言代碼，并且不管這些代碼是在 windows 平臺、 Linux 平臺或者其它平臺的。 工具學習、培訓和使用的成本少，最小化影響開發(fā)進度 由于編譯器、 操作系統(tǒng)和開發(fā)環(huán)境獨立，使用者無去學習每種平臺下如何去編譯代碼， 安全服務 代碼、如何 審計 測試代碼，無去看每種平臺下繁瑣的使用手則。因為 該 服務只要提供源代碼即可 審計 ，并給出精確的 審計 結(jié)果。 低誤報 該產(chǎn)品 企業(yè)服務在 審計 過程中全面分析應用的所有路徑和變量。準確的分析結(jié)果，驗證可能的風險是否真正導致安全問題，自動排除噪音信息， 審計 結(jié)果幾乎就是最終的分析結(jié)果，其誤報率（ False Positive）幾乎為零。極大的減少了審計分析的人工勞動成本，極大的節(jié)了代碼審計的時間，為開發(fā)團隊贏得更多的開發(fā)時間。 安全漏洞覆蓋面廣 且全面 (低漏報 ) 數(shù)以百計的安全漏洞檢查適合任于何組織，支持最新的 OWASP 、 CWE、SANS、 PCI、 SOX 等國際權(quán)威組織對軟件安全漏洞的定義。漏洞覆蓋面廣，安全檢查全面，其自定義查詢語言 CxQL 可以讓用戶靈活制定要的代碼規(guī)則，極大的豐富組織特定的代碼安全和代碼質(zhì)量的要。 安全查詢規(guī)則清晰且完全公開實現(xiàn) 規(guī)則定義清晰，并完全公開所有規(guī)則的定義和實現(xiàn)讓用戶清楚知道工具如何去定義風險、如何去查找風險，透明各種語言風險。讓用戶知道工具已經(jīng)做了那些工作，沒有做那些該工作。而不是給用戶一個黑匣子，用戶無法了解工具的細節(jié)和缺陷，無法在代碼審計過程中規(guī)避工具的風險（比如漏報和誤報），比如利用人工或者其它手段查找工具不能定位的問題。 安全規(guī)則自定義簡單高效 由于公開了所有規(guī)則實現(xiàn)的細節(jié)和語法，用戶可以快速修改規(guī)則或者參考 已有的規(guī)則語句自定義自己 需 要規(guī)則，規(guī)則學習，定義簡單高效。能快速實現(xiàn)組織軟件安全策略。 可以累積試驗室的 安全研究成果 ,把實驗室的成果轉(zhuǎn)換成查詢規(guī)則 ,然后用自動化的方式去驗證試驗室的安全知識對實際系統(tǒng)的應用情況 。 審計 性能 10 萬行代碼 審計 時間在 10~30 分鐘不等，視代碼復雜度和硬件配置而不同。 安全規(guī)則自定義簡單高效 由于公開了所有規(guī)則實現(xiàn)的細節(jié)和語法，用戶可以快速修改規(guī)則或者參考已有的規(guī)則語句自定義自己要規(guī)則，規(guī)則學習，定義簡單高效。能快速實現(xiàn)組織軟件安全策略。 業(yè)務邏輯和架構(gòu)風險調(diào)查 該產(chǎn)品 服務可以對所有 審計 代碼的任意一個代碼元素（詞匯）做動態(tài)的數(shù)據(jù)影響、控制影響和業(yè)務邏輯研究和調(diào)查。分析代碼邏輯 和架構(gòu)特有的安全風險，并最后定義規(guī)則精確查找這些風險。這是目前唯一能動態(tài)分析業(yè)務邏輯和軟件架構(gòu)的靜態(tài)技術(shù)。 攻擊路徑的可視化，并以 3D 形式展現(xiàn) 每一個安全漏洞的攻擊模式和路徑完全呈現(xiàn)出來，以 3D 圖形的方式顯示，便于安全問題調(diào)查和分析。 代碼實踐的加強 內(nèi)置軟件代碼質(zhì)量問題檢測，同時也提供自定義規(guī)則去驗證編程策略和最佳實踐。 該產(chǎn)品 目前支持主流語言 Java、 JSP、 JavaSript、 VBSript、 C 、 、 、 VB C/C++ 、ASP 、 PHP, Ruby、 Perl、 Android、 OWASP ESAPI、 MISRA、和 ObjectiveC (iOS) .(AppExchange platform)、 API to 3rd party languages 。 支持的主流框架（ Framework） Struts 、 Spring、 Ibatis、 GWT、 Hiberante、 Enterprise Libraries、 Telerik、ComponentArt、 Infragistics、 FarPoint， 、 [*] 、MFC，并可針對客戶特定框架快速定制支持。 服務獨立，全面的團隊 審計 支持 作為服務器運行。開發(fā)人員、管理人員和審計人員都可以憑各自的身份憑 證從任何一處登錄服務器，進行代碼 審計 、安全審計、團隊、用戶和 審計 任務管理。 高度自動化 審計 任務 自動 服務 版本管理（ SubVersion、 TFS）、 SMTP 郵件服務器和 Windows賬戶管理，實現(xiàn)自動 審計 代碼更新、自動 審計 、自動報警和自動郵件通知等。 支持多任務 排隊 審計 、并發(fā) 審計 、循環(huán) 審計 、按時間調(diào)度 審計 。提高團隊 審計 效率。 云服務實現(xiàn) 支持跨 Inter 實現(xiàn)源代 碼安全 審計 “ 云服務 ” 。 基礎設備安全評估 解決方案 安全風險評估方法論 概述 風險管理（ Risk Management）旨在對潛在機會和不利影響進行有效管理的文化、程序和結(jié)構(gòu)。風險管理是良好管理的一個組成部分，它用一種將損失減小到最低程度而使商業(yè)機會達到最大限度的方式，對與機構(gòu)的任何活動、功能和過程相關的風險進行環(huán)境建立、鑒定、分析、評價、處理、監(jiān)控和信息交流。風險管理既是為了發(fā)現(xiàn)商業(yè)機會，同樣也是為了避免或減輕損失。風險管 理過程（ Risk Management Process）是指系統(tǒng)地將管理方針、程序和實施應用于風險的環(huán)境建立、鑒定、分析、評價、處理、監(jiān)控和信息交流等任務。 在信息安全的領域，同樣適用于風險管理的理念和方法論。在當前信息技術(shù)得到普遍應用，并且很多成為關鍵業(yè)務系統(tǒng)的環(huán)境下，企業(yè)或組織的信息安全風險很大，而且普遍缺乏有效的控制和管理，但過度的風險管理，無疑會導致大量的金錢和人力的花費、和對工作效率的嚴重降低。如圖所示。所以，如何適度和有效地進行信息安全的風險的管理和控制，成為了一項迫切和重要的任務。 一般來說，安全風險的降低（即安全水平的提升）和相應的開銷不是 線性的關系，如圖所示。在較高的安全水平上面，獲得微小的提高可能要的巨大開銷，甚至開銷超出了所保護資產(chǎn)的價值。經(jīng)過精細的資產(chǎn)評估和風險評估，企業(yè)就可以在投資提升安全降低風險、承受風險、轉(zhuǎn)移風險等做出正確的選擇。 此處描述的風險的評估過程主要包括風險管理過程中的鑒定、分析、評價、處理等任務，它是一件非常復雜的工作，風險的來源、表現(xiàn)形式、造成的后果、出現(xiàn)的概率等千差萬別，要非常精細的考慮和數(shù)學模型。本文下面的描述即是闡明風險評估過程的理念和方法論，以作為安全服務的標準方法論和理論基礎，指導和規(guī)范的安全風險安全服務 工作。 安全模型 在國際標準 ISO13335 中，安全模型如下圖所示，特點是以風險為核心。 在國際標準 ISO15408 中，安全模型如下圖所示，其特點是強調(diào)了模型的對抗性和動態(tài)性。 可以看出，這兩個安全模型非常類似，核心要素都是資產(chǎn)、弱點、威脅、風險、安全措施等，各要素之間的關系也基本類似，只是描述和關注的角度不同。 在澳大利亞和新西蘭國家標準《風險管理 Risk Management》（ AS/NZS 4360:1999）中描述了風險管理過程，如下圖所示： 安全風險評估方案 資產(chǎn)調(diào)查與賦值 求調(diào)查 求 調(diào)查是整個安全評估服務的基礎。考慮到安全評估服務的特殊性，安全服務 項目 師將盡可能與用戶密切配合，根據(jù)對用戶環(huán)境和安全求進行相當全面和細致的調(diào)查，以便準確理解用戶求，全面實現(xiàn)安全服務保護用戶系統(tǒng)的目的。 安全評估服務將針對用戶環(huán)境中的網(wǎng)絡系統(tǒng)、服務器系統(tǒng)、應用系統(tǒng)以及數(shù)據(jù)系統(tǒng)等進行安全審計和操作、修復工作，因此用戶求調(diào)查也針對這些方面進行。安全服務的用戶求調(diào)查的主要內(nèi)容如下圖所示： 調(diào)查對象 ? 管理人員 調(diào)查客戶現(xiàn)有管理體系和系統(tǒng)安全策略，了解現(xiàn)有安全組織的人員情況，向評估小組 項目 師提供 現(xiàn)階段的系統(tǒng)安全方面的規(guī)章制度，從而能夠清楚了解現(xiàn)在安全策略的執(zhí)行情況等。 ? 機房管理人員 調(diào)查機房物理環(huán)境，其中涵蓋了該機房的物理分布圖、安全區(qū)域的設置、訪問控制設備情況、授權(quán)和驗證情況、機房內(nèi)物體堆放情況、防火安全設施、電力保障系統(tǒng)、應急照明設施、溫濕度監(jiān)測與控制情況、電磁屏蔽系統(tǒng)等。 ? 網(wǎng)絡管理員 調(diào)查信息系統(tǒng)網(wǎng)絡拓撲、設備信息