15360494010
簡(jiǎn)要描述:軟件源代碼安全檢測:廣電計量可為客戶(hù)提供代碼安全審計服務(wù),信息安全團隊采用分析工具和專(zhuān)業(yè)人工審查,審計時(shí)會(huì )從輸入驗證、身份認證、授權管理、會(huì )話(huà)管理、安全加密、錯誤處理、日志記錄等多個(gè)方面對代碼中的安全問(wèn)題及安全編碼規范問(wèn)題進(jìn)行審計,查缺補漏、優(yōu)化質(zhì)量,極大提高應用系統的安全系數,從根本上解決系統可能存在的漏洞、后門(mén)等安全問(wèn)題。
相關(guān)文章
Related Articles詳細介紹
品牌 | 廣電計量 |
---|
服務(wù)范圍
軟件源代碼安全檢測:源代碼審計服務(wù)的范圍包括使用ASP、ASPNET(VB/C#)、JSP(JAVA)、PHP等主流語(yǔ)言開(kāi)發(fā)的B/S應用系統、使用C++、JAVA、C#、VB等主流語(yǔ)言開(kāi)發(fā)的C/S應用系統,以及使用XML語(yǔ)言編寫(xiě)的文件、SQL語(yǔ)言和數據庫存儲過(guò)程等。
服務(wù)依據
軟件源代碼安全檢測:
GB/T 39412-2020《信息安全技術(shù) 代碼安全審計規范》
GB/T 34943-2017《C/C++語(yǔ)言源代碼漏洞測試規范》
GB/T 34944-2017《Java語(yǔ)言源代碼漏洞測試規范》
GB/T 34946-2017《C#語(yǔ)言源代碼漏洞測試規范》
服務(wù)流程
服務(wù)內容
序號 | 測試項 | 測試說(shuō)明 |
1 | 系統所用開(kāi)源框架 | 包含java反序列化漏洞,導致遠程代碼執行。Spring、Struts2的相關(guān)安全。 |
2 | 應用代碼關(guān)注要素 | 日志偽造漏洞,密碼明文存儲,資源管理,調試程序殘留,二次注入,反序列化。 |
3 | API濫用 | 不安全的數據庫調用、隨機數創(chuàng )建、內存管理調用、字符串操作,危險的系統方法調用。 |
4 | 源代碼設計 | 不安全的域、方法、類(lèi)修飾符未使用的外部引用、代碼。 |
5 | 錯誤處理不當 | 程序異常處理、返回值用法、空指針、日志記錄。 |
6 | 直接對象引用 | 直接引用數據庫中的數據、文件系統、內存空間。 |
7 | 資源濫用 | 不安全的文件創(chuàng )建/修改/刪除,競爭沖突,內存泄露。 |
8 | 業(yè)務(wù)邏輯錯誤 | 欺騙密碼找回功能,規避交易限制,越權缺陷Cookies和session的問(wèn)題。 |
9 | 規范性權限配置 | 數據庫配置規范,Web服務(wù)的權限配置SQL語(yǔ)句編寫(xiě)規范。 |
服務(wù)優(yōu)勢
具備CNAS、CMA資質(zhì),可出具報告
具備CCRC風(fēng)險評估、安全集成、安全運維、應急處置服務(wù)資質(zhì),可出具相關(guān)檢測報告
具備ISO 27001、ISO 20000、ISO 9001等服務(wù)資質(zhì),管理體系完善
提供“咨詢(xún)-檢測-運營(yíng)-培訓"一站式信息安全技術(shù)服務(wù)
擁有多名國際專(zhuān)家,核心團隊來(lái)自于頭部安全公司和檢測機構,具有豐富的行業(yè)資源和技術(shù)能力,具備資深的國際認證咨詢(xún)和檢測
服務(wù)經(jīng)驗
主導和參與國家、行業(yè)、團體標準修訂100+項,其中信息安全領(lǐng)域15項
提供“標準化+定制化"特色服務(wù)
承擔通信、電力、軌道交通、汽車(chē)、金融、醫療、能源、政企、軍工等領(lǐng)域大型項目,服務(wù)經(jīng)驗豐富
全國布局五大實(shí)驗室,覆蓋全國提供服務(wù),提供就近就地、快速響應的服務(wù)
客戶(hù)收益
明確安全隱患點(diǎn)
提高安全開(kāi)發(fā)意識
提高應用系統自身安全防護能力
降低軟件缺陷修復成本
降低源代碼出現的安全漏洞
服務(wù)案例
山東煙草某辦案系統代碼審計
華棲云某管理系統代碼審計
鐵路關(guān)鍵信息基礎設施開(kāi)源代碼安全維護與漏洞檢測技術(shù)研究
國網(wǎng)某大數據服務(wù)系統軟件代碼審計
產(chǎn)品咨詢(xún)
電話(huà)
微信掃一掃