網站應用安全

【Armorize(阿碼科技)-CodeSecure源碼檢測系統】

---

　

 自動化源碼分析及驗證是建構網站應用程式安全的第一步?

      風險管理 (Risk Management) 告訴我們一個原則，安全不是附加(add-on)的配備，而是應用系統發展過程中不可缺少的要件。靜態源碼分析在開發過程中，就可以從源碼中指出安全問題所在，以避免未來產生軟體的弱點問題，更無零時差攻擊(Zeroday Attack ) 的發生機會。而一般的軟體發展程序，只能夠在測試佈署階段才開始審視安全問題。在網站應用系統開發生命週期中(SDLC)，越早把有安全問題的程式碼找出來，所要付出的成本與受到入侵的風險會大大地降低，當然可以避免系統上線後令人羞赧的補丁(patch)

　

 何謂CodeSecure™?

     CodeSecure™是內建語法剖析功能無需依賴編譯環境的靜態源碼分析與驗證平台。唯一在程式開發階段可透過網頁式介面，自動完成靜態源碼分析驗證網站應用系統的弱點，主動偵測有問題的程式碼並追蹤衍生的相關片段，提供具最佳成本效益的矯正方案。。

 為何自動化源碼分析是必要的?:

     現在軟體開發過程之中，通常將安全是為後端的需求，幾乎都是在開發之後才經由其他的評估、替代與變更程式，像是弱點評估(Vulnerability Assessment)與滲透測試 (Penetration Testing) ，在系統已經完成開發之際才花時間去找出問題和偵測弱點。這是需要高額成本且效益不彰的工作，誤判率偏高且鮮少能指出真正的問題所在。CodeSecure™則是提供在源碼開發階段中，以先進的自動化源碼分析與驗證科技，直接在源頭解決安全問題之低成本高效益方案。

　

 CodeSecure™提供快速、有效與準確的源碼分析功能:

      CodeSecure™基於第三代靜態源碼檢驗科技，在偵測網站應用系統源碼上，提供企業一個準確及有效率的方式。在開發階段，以非侵入式的程序掃描源碼，明確指出有問題的源碼位置及建議處置方法。在網站應用系統開發生命週期(SDLC)的開發階段早期就找出系統弱點的根因，比起系統佈署之後再來解決更省時又省力。CodeSecure™是基於獲獎的靜態檢測科技，結合易於安裝、設定及管理的功能特色，是目前市場上最先進、最有效、最完整的源碼分析方案。

　

CodeSecure™ 如何運作?

     CodeSecure™是採用第三代靜態源碼分析引擎的網站應用系統源碼弱點偵測方案，以行為分析方式，不需特徵值或攻擊模式，可直接掃描原始程式碼，統整出一個完整的程式與函式的列表，經過內建的分析器(parser)與轉換功能，要內部的記憶空間中即時地”執行”程式，有效地評估程式撰寫者的語法問題。透過行為分析與驗證模式，可以系統化地分析出每一行程式碼的弱點，以及面對用戶各種輸入錯誤的可能，會產生出哪些衍生問題。尤其是針對目前流行的網站攻擊手法，更可以有效地預防類似攻擊手法所造成的威脅，包含：資料流的漏洞、跨網站腳本攻擊Cross Site Scripting (XSS)、注入式弱點Injection Flaws (SQL, File, Command, XPATH, Reflection)、檔案引用(Inclusion)與惡意程式的邏輯問題及導致資料洩漏的弱點，例如寫在程式中的密碼。

 CodeSecure™易於安裝使用:

     CodeSecure™可以輕易整合各種專案版本控制系統，在程式方法中融入安全的程式設計觀念，讓應用系統開發團隊在做中學，體驗安全實踐安全。透過網頁介面，專案經理、開發組長或安控人員可以透過以下五步驟完成安全程式設計之實踐。

 CodeSecure™管理特色:

• CSO、CIO與安全分析師，只需安裝CodeSecure™解決方案，就可以確實扼要地檢視企業源碼分析與驗證結果
• IT部門與方案佈署團隊，可花最少安裝、佈署、與維護的成本
• 高階管理人員可獲得從執行管理層級的報告，檢視專案進度、效益分析及團隊工作效能
• 資安與開發團隊可由技術報告中發現，安全問題根源與最佳化的弱點矯正建議
• 專案經理、程式開發人員與安全稽核師，可以快速地透過網頁瀏覽器觀看個人化的儀表板，持續評估政策落實、安全意識與訓練成效