Total Web Security Enabler
网站安全守护者

自动化源码检测及验证是建构网站应用程序安全的第一步

风险管理(Risk Management)告诉我们一个原则,安全不是附加(add-on)的配置,而是应用系统发展过程中不可缺少的要件。静态源码检测在开发过程中,就可以从源码中指出安全问题所在,以避免未来软件配备,而是应用系统发展过程中不可缺少的要件。静态源码检测在开发过程中,就可以从源码中指出安全问题所在,以避免未来软体的弱点问题越滚越大,以及零时差攻击(Zero-day Attack)的发生机会。以往的软体开发生命周期(SDLC),只在测试部署阶段才开始审查安全问题。但从近年的研究成果与最佳实务中,包括国际的开放Web软体安全计划(OWASP)、美国MITRE的常见缺陷列表(CWE)、Web软件安全联盟(WASC)或微软的安全开发生命周期(SDL),均显示安全应嵌入于软件开发生命周期的各个阶段,越早把存在安全问题的程序码找出来,所要付出的成本与遭受入侵的风险会大幅降低,也可以避免系统上线后困扰的负面报导与补丁(patch)。

何谓CodeSecure

CodeSecure 是内建语法剖析功能无需依赖编译环境的静态源码检测与验证平台,更是全球唯一同时具备Web 2.0网页操作与整合式开发环境双接口的源码检测平台,高级主管与信息安全顾问可借此软件轻松地完成静态源码检测验证网站应用系统的安全性,开发团队可主动地侦测有问题的程序码并追踪衍生的相关片段,提早解决问题,是目前市面上最佳成本效益的Web应用程序安全解决方案。

自动化源码检测的必要性

现在软件开发过程之中,通常将安全是为后端的需求,几乎都是在开发之后才经由其它的评估、替代与变更程序,像是弱点评估(Vulnerability Assessment)与渗透测试(Penetration Testing),在系统已经完成开发之际才花时间去找出问题和侦测弱点。这是一项成本极高而效益很低的工作,误判率偏高且鲜有能指出真正的问题所在。CodeSecure?则提供在源码开发阶段中,以先进的自动化源码检测与验证科技,直接在源头解决安全问题的低成本高效益方案。

CodeSecure 提供快速、有效而且准确的源码检测功能

CodeSecure 基于第三代静态源码检验科技,在检测网站应用系统源码上,提供给企业一个准确及有效率的方式。在开发阶段,以非侵入式的方式检测源码,明确地指出有问题的源码位置及建议修补方式。在网站应用系统开发生命周期(SDLC)的开发阶段提早发现弱点的根源,远比系统布署之后再来面对安全议题来得更省时与省力。CodeSecure是基于屡获国际大奖的静态检测技术,具有易于安装、设定及管理的功能特色,是目前市场上最先进、最有效、最完整的源码检测解决方案。

CodeSecure 如何运作?

CodeSecure 是采用第三代静态源码分析引擎的网站应用系统源码检测解决方案,以行为分析方式,不需特征值或攻击模式,直接扫描原始程序码,整理出一个完整的程序与函数的列表,经过内建的分析器(parser)与转换功能,于内部的记忆体即时地”执行”程序,有效地评估程序员导致的安全问题。通行为分析与验证模式,可以系统化地分析出每一行程序代码的弱点,以及面对用户各种输入错误的可能,会产生出哪些衍生问题。尤其是针对目前流行的网站攻击手法,更可以有效地预防类似攻击手法所造成的威胁,包含:资料流的漏洞、跨网站脚本攻击Cross Site Scripting (XSS)、注入式弱点Injection Flaws (SQL, File, Command, XPATH, Reflection)、档案引用(Inclusion)以及导致资料泄漏的弱点,例如编写在程序源码中的明文密码。

CodeSecure 易于安装使用

CodeSecure 可以轻易整合各种专案版本控制系统,在程序方法中融入安全的程序设计观念,让应用系统开发团队在做中学,体验安全实践安全。通过网页接口,专案经理、开发人员或安全控制人员可以透过以下五步骤完成安全程序设计之实践。

CodeSecure 管理特色

  • CSO、CISO、CIO与信息安全审计人员,只需安装 CodeSecure 解决方案,就可以确实扼要地检查企业源码检测与验证结果
  • IT 部门与方案布署团队,可花最少安装、布署、与维护的成本
  • 高级管理人员可获得从执行管理层级的报告,检查专案进度、效益分析及团队工作效能
  • 信息安全与开发团队可以从技术报告中发现安全问题根源与最佳化的弱点矫正建议
  • 专案经理、程序员与安全设计师,可以快速地通过网页浏览器查看个性化的报表,持续评估政策落实、安全意识与训练效果

支持的开发环境

  • Eclipse-based IDE
  • Visual Studio
  • CodeSecure Standalone IDE

支持的开发程序语言

  • PHP
  • J2EE (Java, JSP)
  • ASP
  • .NET