金融行业作为我国信息化前沿的核心行业,随着互联网快速发展,提供对外服务的业务系统逐步暴露在互联网上,面临的安全威胁风险空前增大;另外,随着构建在信息系统之上的各种业务应用的不断丰富,软件和信息系统复杂程度的不断提高,系统中隐藏漏洞或者后门的各种安全隐患也越来越多,并且通常难以被及时发现修复。
应用软件源代码是构建金融业务系统信息的基础组件,软件代码中安全漏洞和未声明功能(后门)的存在是安全事件频繁发生的根源。忽视软件代码自身的安全性,仅仅依靠外层的防护、事后的修补等方法,必然事倍功半,同时增加后期维护投入成本。
对源代码安全根据《信息安全等级保护基本要求》以及《信息安全管理系统要求》的相关标准和要求“防范恶意代码和移动代码”应用软件可能存在源代码缺陷、软件后门、不符合规范要求等,必须在开发和审计阶段在上线前提供相应的源代码审查。
主要解决源代码如下可能存在安全风险痛点问题:
软件外包开发以及自身研发的团队对于应用软件源代码安全风险意识不足,在编写代码的时候对CWE、OWASPI等信息安全组织标识为严重软件安全问题了解不足,容易导致应用系统存在如缓冲区溢出、SQL注入、跨站脚本、代码质量、危险函数的软件安全漏洞。
软件外包开发以及自身研发的团队为了赶开发进度时间要求,在开发时候直接引用开源代码模块,同时对开开源代码模块是否存在法律风险或者安全漏洞隐患的问题。
缺少完善的应用软件安全的审计策略和措施,由于缺少应用软件安全保护方面的意识以及重视不足,在对应用软件的源代码审计单采用人工的方式,在没有自动化的工具检测结果,效率低下,同时导致应用软件很多漏洞未能被发现。
缺少代码安全保障管理平台,不便于内部开发人员、审计人员、管理人员对应用软件安全开发生命周期的安全风险收集、处理、分析、预测和评估,对业务系统源代码检查,安全合规管理要求准备不足或者缺乏控制措施。
中科天齐代码安全检测解决方案
中科天齐悟空(Wukong)软件源代码静态检测能有效地为金融行业提供一套源代码安全分析解决方案,其是一款面向客户在软件开发过程中查找、识别、追踪巨大部分主流编码中的技术漏洞和逻辑漏洞,帮助用户提升抵御网络攻击、防止数据泄露等安全问题能力的新一代源代码安全检测工具。
软件源代码是金融组织机构的核心机密,源代码安全检测产品部署到开发和测试网络中之后,是否会引入其他的安全风险,如何保障源代码安全检测产品自身的安全可控,是组织机构关心的问题。悟空代码静态分析工具是中科院自主研发的国产源代码安全检测产品,解决方案符合国家信息安全产品“自主、可控”的原则。
软件安全 网络安全的最后一道防线
中科天齐公司是在中科院计算技术研究所的大力推动下
以中科院计算所国际领先的自主研究成果
为基础组建的高新技术企业
关键词标签:代码安全检测 代码静态分析 软件安全测试 软件漏洞检测 代码静态检测
