15975429334
簡要描述:軟件源代碼安全檢測測評服務:廣電計量可為客戶提供代碼安全審計服務,信息安全團隊采用分析工具和專業(yè)人工審查,審計時會從輸入驗證、身份認證、授權管理、會話管理、安全加密、錯誤處理、日志記錄等多個方面對代碼中的安全問題及安全編碼規(guī)范問題進行審計,查缺補漏、優(yōu)化質(zhì)量,極大提高應用系統(tǒng)的安全系數(shù),從根本上解決系統(tǒng)可能存在的漏洞、后門等安全問題。
詳細介紹
品牌 | 廣電計量 |
---|
服務范圍
軟件源代碼安全檢測測評服務:源代碼審計服務的范圍包括使用ASP、ASPNET(VB/C#)、JSP(JAVA)、PHP等主流語言開發(fā)的B/S應用系統(tǒng)、使用C++、JAVA、C#、VB等主流語言開發(fā)的C/S應用系統(tǒng),以及使用XML語言編寫的文件、SQL語言和數(shù)據(jù)庫存儲過程等。
服務依據(jù)
軟件源代碼安全檢測測評服務:
GB/T 39412-2020《信息安全技術 代碼安全審計規(guī)范》
GB/T 34943-2017《C/C++語言源代碼漏洞測試規(guī)范》
GB/T 34944-2017《Java語言源代碼漏洞測試規(guī)范》
GB/T 34946-2017《C#語言源代碼漏洞測試規(guī)范》
服務流程
服務內(nèi)容
序號 | 測試項 | 測試說明 |
1 | 系統(tǒng)所用開源框架 | 包含java反序列化漏洞,導致遠程代碼執(zhí)行。Spring、Struts2的相關安全。 |
2 | 應用代碼關注要素 | 日志偽造漏洞,密碼明文存儲,資源管理,調(diào)試程序殘留,二次注入,反序列化。 |
3 | API濫用 | 不安全的數(shù)據(jù)庫調(diào)用、隨機數(shù)創(chuàng)建、內(nèi)存管理調(diào)用、字符串操作,危險的系統(tǒng)方法調(diào)用。 |
4 | 源代碼設計 | 不安全的域、方法、類修飾符未使用的外部引用、代碼。 |
5 | 錯誤處理不當 | 程序異常處理、返回值用法、空指針、日志記錄。 |
6 | 直接對象引用 | 直接引用數(shù)據(jù)庫中的數(shù)據(jù)、文件系統(tǒng)、內(nèi)存空間。 |
7 | 資源濫用 | 不安全的文件創(chuàng)建/修改/刪除,競爭沖突,內(nèi)存泄露。 |
8 | 業(yè)務邏輯錯誤 | 欺騙密碼找回功能,規(guī)避交易限制,越權缺陷Cookies和session的問題。 |
9 | 規(guī)范性權限配置 | 數(shù)據(jù)庫配置規(guī)范,Web服務的權限配置SQL語句編寫規(guī)范。 |
服務優(yōu)勢
具備CNAS、CMA資質(zhì),可出具報告
具備CCRC風險評估、安全集成、安全運維、應急處置服務資質(zhì),可出具相關檢測報告
具備ISO 27001、ISO 20000、ISO 9001等服務資質(zhì),管理體系完善
提供“咨詢-檢測-運營-培訓"一站式信息安全技術服務
擁有多名國際專家,核心團隊來自于頭部安全公司和檢測機構,具有豐富的行業(yè)資源和技術能力,具備資深的國際認證咨詢和檢測
服務經(jīng)驗
主導和參與國家、行業(yè)、團體標準修訂100+項,其中信息安全領域15項
提供“標準化+定制化"特色服務
承擔通信、電力、軌道交通、汽車、金融、醫(yī)療、能源、政企、等領域大型項目,服務經(jīng)驗豐富
全國布局五大實驗室,覆蓋全國提供服務,提供就近就地、快速響應的服務
客戶收益
明確安全隱患點
提高安全開發(fā)意識
提高應用系統(tǒng)自身安全防護能力
降低軟件缺陷修復成本
降低源代碼出現(xiàn)的安全漏洞
服務案例
山東煙草某辦案系統(tǒng)代碼審計
華棲云某管理系統(tǒng)代碼審計
鐵路關鍵信息基礎設施開源代碼安全維護與漏洞檢測技術研究
國網(wǎng)某大數(shù)據(jù)服務系統(tǒng)軟件代碼審計
產(chǎn)品咨詢
電話
微信掃一掃