近年来,在行业数字化加速发展和大数据、云打算和人工智能等新技能运用不断深入的大背景下,行业网络和信息安全管理能力面临更大寻衅,能源、证券等多行业出台了干系政策或举措,以加强网络安全保障能力。例如,中国证券业协会组织起草的《网络和信息安全三年提升操持(2023-2025)》在“深化漏洞全生命周期管控”中,对软件研发过程提出要检测代码安全毛病和引入的第三方组件漏洞,提升安全风险检测的全面性、准确性和效率,实现漏洞通报、修复的闭环管理,确保变更上线前已知风险全面收敛。2023年,《国家能源局关于加快推进能源数字化智能化发展的多少见地》提出增强能源系统网络安全保障能力,加强电厂工控系统网络安全防护,推进传统能源厂(站)信息系统网络安全动态防护、云安全防护、移动安全防护升级。
运用软件和信息系统的安全问题需从底层源头出发,进行源代码安全审计,检讨代码的安全毛病,审查编写是否遵照安全编程规范,开拓是否利用了不屈安的第三方组件等。通过源代码安全审计,对程序源代码进行漏洞检测剖析,能够创造源代码在软件设计、测试、运用支配等各阶段中可能存在的安全毛病或安全漏洞,从源头上避免潜在的安全风险,提高源代码质量。
在源代码安全审计标准层面,《GB/T 15532-2008 打算机软件测试规范》规定了打算机软件生存周期内各种软件产品的基本测试方法、过程和准则,包括代码审查、走查和静态剖析的静态测试方法。《GB/T 34944-2017 Java措辞源代码漏洞测试规范》、《GB/T 34943-2017 C/C++措辞源代码漏洞测试规范》和《GB/T 34946-2017 C#措辞源代码漏洞测试规范》从措辞层面,规定了不同开拓措辞源代码漏洞测试的测试总则和测试内容,适用于开拓方或者第三方机构的测试职员利用自动化静态剖析工具开展的源代码漏洞测试活动。《GJB/Z 141-2004 军用软件测试指南》规定了军用软件在其生存周期内各阶段测试的方法、过程和准则,采取静态测试方法和动态测试方法对软件进行测试,辅导军用软件的测试组织和履行。
源代码审计技能可分为静态检测、动态检测及动静结合检测。静态检测是指在不运行程序代码的情形下,对程序中数据流、掌握流、语义等信息进行剖析,对程序代码进行抽象和建模,通过安全规则检讨、模式匹配等办法挖掘程序源代码中存在的漏洞。动态检测是指向程序输入人为布局的测试数据,根据系统功能或数据流向,比拟实际输出结果与预想结果,剖析程序的精确性、健壮性等性能,判断程序是否存在漏洞。动静结合检测是一种将静态剖析和动态剖析相结合的稠浊式漏洞检测方法,先利用静态检测方法对大规模的软件源代码进行检测,对大规模的软件源代码进行切分,再利用动态检测方法对已划分的程序代码进行数据输入,根据数据流向来判断漏洞是否存在。依据GB/T 34944-2017、GB/T 34943-2017和GB/T 34946-2017标准,Java/C#/C/C++措辞源代码漏洞包括但不限于以下分类:
目前,代码安全审计工具紧张包含静态代码剖析工具、模糊测试工具、交互式测试工具等。
● 静态代码剖析工具:依据剖析目标的不同,静态剖析可分为面向源代码的静态剖析和面向二进制代码的静态剖析。静态剖析工具有代码安全漏洞检测工具(Fority SCA、coverity-static、Checkmarx-CxSAST、奇安信代码卫士等)以及代码质量与安全检测工具(Klocwork、CoBOT等)。
● 模糊测试工具:向系统发送有组织的非常数据来探求系统软件安全漏洞。模糊测试工具有Defensics、SFuzz模糊测试平台等。
● 交互式测试工具:利用插桩来网络安全信息,直接从运行中的代码创造问题漏洞。交互式测试工具有Seeker、悬镜灵脉IAST灰盒测试平台等。
工联检测实验室(以下简称“实验室”)依据国家标准,结合客户检测需求,制订源代码安全审计履行方案。项目履行依托专业的代码安全审计工具以及人工代码结果剖析,担保测试结果的准确性。实验室于2021年得到CNAS与CMA检测资质,目前CNAS/CMA批准的检测能力涵盖Java源代码、C/C++源代码等,软件品类包括通用运用软件、行业运用软件、嵌入式软件、工业软件。2024年6月,实验室参加Java源代码安全检测丈量审核,结果为“满意”,证明实验室持续具备CNAS认可的源代码安全检测能力。
实验室持续开展源代码安全审计干系技能研究,面向社会供应专业的源代码漏洞扫描、静态剖析等检测做事,助力企业系统安全保障与风险防控能力的进一步提升!
联系人:
李女士 15011507696
