公司新闻

联系我们 Contact Us

电话:0512-6238 2981

传真:0512-6238 2981-856

邮箱:sinocax@sinocax.com

地址:苏州工业园区启月街288号紫金东方商务广场1商幢2-1008室

您现在的位置: > 关于我们 > 公司新闻 >

源代码扫描审计服务--使用工具HP Fortify SCA

作者: 华克斯 时间:2016-05-09 来源:苏州华克斯信息科技有限公司

 

服务概述
  软件源代码是软件需求、设计和实现的最终载体,源代码安全风险评估发现代码构造期间引入实现级别的安全漏洞,并为这些编码错误建议补救措施。源代码安全风险评估对现有代码库进行分析,并对导致安全漏洞的代码构造进行定位。包括但不限于OWASP Top 10、PCI 、CWE、CVE、SANS20、SOX 等国际权威组织公布的软件安全漏洞。
我们的专业安全团队将静态分析工具和专家手动审查相结合来尽可能揭示所有的可能存在的安全漏洞。
 
支持源代码安全风险评估的语言
  • 支持的语言业界最多,跨层、跨语言地分析代码的漏洞的产生:C, C++, .Net, Java, JSP,PL/SQL, T-SQL, XML, CFML, JavaScript, PHP, ASP, VB, VBScript;
  • 支持最多的平台,基本上所有平台都支持:Windows, Solaris, Red Hat Linux, Mac OS X, HP-UX, IBM AIX;
  • IDE支持 VS, Eclipse, RAD, WSAD。
     
使用的工具
HP Fortify SCA
 
分析的流程
运用三步走的方法来执行源代码安全风险评估:
  • 确定源代码安全风险评估的审查目标

  • 使用Fortify执行初步扫描并分析安全问题结果

  • 审查应用程序的架构所特有的代码安全问题

 

可交付材料

源代码安全风险评估的目标文档描述了这些内容:
  • 针对对黑客感兴趣的资产、代码实现上的错误,这些错误将危及这些资产的安全,以及在使用的技术和编程语言中常见错误;
  • 针对每一个已经识别漏洞的报告,包括所发现漏洞的概述、影响和严重性以及再现该漏洞的步骤和可用于修复该漏洞缺限的补救措施建议;
  • 最终源代码安全风险评估报告详细说明本次风险评估结果、成果和整体印象、审查期间发现的问题、进行额外审查的建议,以及针对已确定漏洞进行补救的建议。
计价方式
  •  按人天数计算
  • 按扫描次数计算
 
带来的好处
  •   能快速帮助客户定位代码级别的安全漏洞;
  •   能够帮助企业快速评估系统代码安全风险;
  •   快速提供代码安全漏洞修复建议;
  •   指导和培训用户开发安全的软件;
  •  增强系统安全性,抵制黑客恶意攻击,保护信息系统资产。
  • 发现静态代码(静态分析)和运行中的应用(动态分析)中存在的安全漏洞的根源 
  • 发现超过570种的漏洞类型,支持21种开发语言和超过680000个API 
  • 通过协作更快地修复最重要的安全问题 
  • 控制已部署软件中已经存在的漏洞,使其不产生危害 
  • 管控软件安全流程 
  • 通过利用业界领先的致力于持续研究应用安全的团队来预防风险 
  •   确保与政府和行业的合规标准以及内部策略一致,例如支付卡行业数据安全标准(PCI DSS),联邦信息安全管理法案(FISMA),萨班斯法案(SOX),Health Insurance Portability and Accountability Act (HIPAA), North American Electric Reliability Corporation (NERC) 标准等。

联系方式:0512-62382981
邮箱:michael.li@sinocax.com