其他


软件开发安全方案背景:

应用软件占据了所有漏洞的92% – NIST

“在过去10年中,那些重要应用软件的缺陷每年增长43% – CERT

75%的黑客攻击发生在应用软件层面” – Gartner

“对Internet系统的攻击每隔39秒发生一次” –University of Maryland

以上这些权威数字清晰表明两方面的结论:

应用软件在漏洞比例中占据了绝对的比重,并且呈现快速增长趋势

应用软件已经成为黑客攻击的主要目标

近年来,国内外发生了许多由系统缺陷引发的重大信息安全事件层出不穷,让我们不得不正视应用安全问题。这些信息安全事件不但给相关公司在市场上造成了重大不良影响,事后的声誉弥补和系统修复花费了大量的人力,物力和财力。那么是否存在一种方法对这种情况进行改观呢?它既能大量减少花费,又能在系统生产阶段规避或大量减少这些信息安全事件.事实上,业界给出了一致的答案 -- 安全开发。安全开发是由微软、思科等软件业巨头在实践中总结提炼而出,是一种系统化的,成效卓著的应用安全解决方案,他将一系列的安全活动、安全管理实践和安全开发工具系统化的结合在一起,将应用软件中主要的安全漏洞在开发阶段予以解决。

软件开发中的安全问题

人员的问题:绝大多数的开发人员不具备安全需求分析,安全架构设计,安全编码和安全测试的能力,安全意识亦十分淡薄。

管理的问题:大多数的应用开发过程缺少安全关注,没有相应环节对安全问题进行研究和评审把关,忽视安全过程管理。

工具的问题:大多数的公司在开发过程中,没有使用相应安全工具,如威胁建模工具,代码自动化扫描工具等,无法有效发现和解决安全漏洞。在一些拥有安全开发工具的公司,其使用效率和有效性低下,亟待提高。

GooAnn软件开发安全解决方案

SDL开发安全咨询

SDL开发安全咨询重点参考了微软SDL相关推荐文档和《GB/T 20274 信息安全技术 信息系统安全保障评估框架》,为客户建立全面的信息系统生命周期安全保障体系框架。框架将考虑到各种信息系统的获取方式以及客户内部的组织机构特点,可以进行多种定制,具有高度的适应性。实施保障体系可以为客户明确信息系统生命周期各阶段的各种安全保障流程,方法,活动,以及实施这些流程,方法,活动的组织机构建设和责任划分。

 

源码安全测试服务

      源码安全测试发现代码构造期间引入实现级别的安全漏洞,并为这些编码错误建议补救措施。代码审查对现有代码库进行分析,并对导致安全漏洞的代码构造进行定位。我们的专业安全团队将静态分析工具和"眼睛"手动审查相结合来尽可能揭示所有的可能存在的漏洞。

         源码测试可以在以C, C++, C#, VB, VB.Net, Java, ABAP 语言以及包括 Ruby,  PHP, AJAX,   Perl 在内的各种Web技术编写的应用程序下运行。代码审查的结果应以一份详细报告表现出来,概述代码问题,并提出提高安全性的修复方案。从而使开发团队能够更好地了解代码的问题区域,以便将来防止常见的逻辑错误及其他错误。

 开发安全相关培训

谷安提供全方位的安全开发培训服务,包括安全开发SDL培训、安全意识培训,安全编码培训,渗透测试培训

课程名称

                   课程内容与收益

安全开发SDL培训

 

通过本课程学习,学员可以了解安全开发的来龙去脉与核心思想。培训后,学员可以掌握执行安全开发SDL全过程的方法

Web应用安全防护培训

 

通过本课程学习,学员可以了解web安全现状及趋势,可以了解一系列的web安全攻击原理及其防范对策,可以掌握对web系统安全进行监测的一系列方法。课程讲解结合实际操作演练,学员在课程结束后,不仅会有全面的web安全知识,并且具有实际的web安全操作能力。

Java安全编码培训

 

本课程讲解如何编写安全的java代码,例如怎样在代码中避免一系列的注入攻击,跨站脚本攻击,缓冲区溢出攻击等,通过本课程,学员可以了解这些代码缺陷的原因,并且可以在今后的工作编写安全的java代码。

C/C++安全编码培训

 

本课程讲解如何编写安全的C/C++代码,例如怎样在代码中避免一系列的注入攻击,跨站脚本攻击,缓冲区溢出攻击等,通过本课程,学员可以了解这些代码缺陷的原因,并且可以在今后的工作编写安全的C/C++代码

渗透测试与黑客技能培训

 

本课程讲解各种黑客攻击技巧,并进行上机实际操作。通过本培训课程,学员不仅可以掌握各种黑客攻击方法,还可以掌握黑客的思维方式,对所掌握的黑客攻击技巧加以灵活应用。

 

 

CheckMarx源码安全分析工具

      CheckMarx CxSuite是目前最强有力的下一代静态源代码安全扫描测试方案,专门设计为识别、跟踪和修复软件源代码上的技术和逻辑方面的安全缺陷。首创了以查询语言定位代码安全问题,其采用独特的词汇分析技术和CxQL专利查询技术,快速扫描和分析源代码中的安全漏洞和弱点,克服了传统静态分析工具误报率高和漏报的缺陷,扫描结果几乎达到误报为零的效果,不需要像传统的静态分析工具,需要花费巨大的人力、时间和管理成本消除扫描结果中的误报。

Checkmarx Cxsuite支持极其广泛的软件安全漏洞和安全弱点 、操作系统平台、多种编程语言和框架,无缝集成到软件开发生命周期。 Cxsuit的自动代码审计功能允许开发组织以最少的时间和成本去应对安全代码的挑战。

支持的开发语言及脚本语言:

C/C++JavaJscriptjavascript, C#, VB.net, APEX

 集成的IDE开发环境:

 Microsoft Visual StudioEclipse

为什么选择GooAnn

   解决方案特点

融合的咨询、服务、培训、工具的一体化解决方案;

汇聚了国内顶尖的应用安全核心团队;

具备丰富的客户服务经验与案例;

部分成功案例

中国农业银行

中国太平保险

北京银行

中国银联

 华为

北京大学

中国信息安全测评中心

中国信息安全认证中心