您好,歡迎來(lái)到易龍商務(wù)網(wǎng)!
發(fā)布時(shí)間:2021-10-20 07:45
【廣告】
銀行應(yīng)用代碼審計(jì)方案
銀行是網(wǎng)絡(luò)攻擊的主要目標(biāo),企業(yè)也將信息安全作為其的關(guān)注點(diǎn)之一。近年來(lái),銀行系統(tǒng)的安全事件不絕于耳。導(dǎo)致這些攻擊事件的主要根源是由于應(yīng)用程序自身的漏洞,因此保障應(yīng)用安全成了當(dāng)前銀行業(yè)信息安全的工作重點(diǎn)。
銀行面臨的應(yīng)用安全問(wèn)題主要有以下幾個(gè)方面:
1、 應(yīng)用數(shù)量龐大,實(shí)現(xiàn)全部安全測(cè)試并實(shí)時(shí)監(jiān)控的難度很大。
要想實(shí)現(xiàn)對(duì)所有的應(yīng)用進(jìn)行詳盡的安全測(cè)試,并在其版本更新時(shí)立即進(jìn)行回歸測(cè)試,無(wú)論是人工測(cè)試還是利用傳統(tǒng)滲透測(cè)試工具及靜態(tài)代碼掃描工具都無(wú)法很好的達(dá)到目的。人工的方式太耗費(fèi)人力。滲透測(cè)試工具依賴于人,且對(duì)于很多測(cè)試路徑無(wú)法達(dá)到。靜態(tài)工具誤報(bào)率高,掃描的效率低下。
2、 為了快速應(yīng)對(duì)需求變更,金融行業(yè)軟件大量使用敏捷開(kāi)發(fā)的模型,這使得安全代碼審核的工作量加大。
敏捷開(kāi)發(fā)的模型的特點(diǎn)是快速迭代,頻繁的版本發(fā)布加大的安全代碼審核的工作量,人工審核的方式已無(wú)法全部覆蓋到。
3、 有大量項(xiàng)目是外包開(kāi)發(fā),其安全質(zhì)量無(wú)法把控。
外包團(tuán)隊(duì)往往只注重對(duì)功能需求的完成,而不太顧及代碼質(zhì)量與安全問(wèn)題。 企業(yè)沒(méi)有很好的方法在過(guò)程中加強(qiáng)安全質(zhì)理的管理。
對(duì)外包團(tuán)開(kāi)發(fā)的代碼進(jìn)行安全審計(jì)是銀行保障應(yīng)用安全的關(guān)鍵活動(dòng)。SECZONE經(jīng)過(guò)多年的安全服務(wù)的積累,對(duì)于銀行外包代碼安全審計(jì)形成了包括培訓(xùn)、S-SDLC流程、IAST技術(shù)組成的成熟解決方案。
1、應(yīng)用安全培訓(xùn)
2、S-SDLC軟件安全開(kāi)發(fā)生命周期流程
3、利用IAST工具進(jìn)行源碼審核
4、兼容敏捷開(kāi)發(fā)模式
5、實(shí)現(xiàn)對(duì)外包團(tuán)隊(duì)開(kāi)發(fā)質(zhì)量的控制
代碼安全審計(jì)的兩種方式
1、人工審計(jì)
人工審核是代碼審核的關(guān)鍵因素,也是準(zhǔn)確和的解決方案。人工審核依托于技術(shù)人員的安全編碼經(jīng)驗(yàn)、滲透測(cè)試經(jīng)驗(yàn)以及新的知識(shí)庫(kù),能夠有效的發(fā)現(xiàn)深層次的高風(fēng)險(xiǎn)安全漏洞,包括業(yè)務(wù)邏輯安全漏洞。在網(wǎng)上待測(cè)系統(tǒng)重要的業(yè)務(wù)場(chǎng)景中,很多高風(fēng)險(xiǎn)的安全漏洞都隱藏的比較深,只有通過(guò)經(jīng)驗(yàn)豐富的安全人員進(jìn)行人工審計(jì)才能發(fā)現(xiàn)相關(guān)的問(wèn)題。同時(shí),在人工審核的的過(guò)程中實(shí)施人員在集中發(fā)現(xiàn)安全缺陷的同時(shí)也會(huì)關(guān)注目標(biāo)系統(tǒng)的合規(guī)性問(wèn)題。通過(guò)對(duì)目標(biāo)系統(tǒng)的源代碼進(jìn)行人工審核,可以有效的降低安全風(fēng)險(xiǎn),提高系統(tǒng)安全性、健壯性和合規(guī)性。在開(kāi)發(fā)階段就發(fā)現(xiàn)安全問(wèn)題,而不是將安全問(wèn)題帶入生產(chǎn)系統(tǒng)后才被發(fā)現(xiàn)并解決,課余有效的控制系統(tǒng)的研發(fā)成本。
2、自動(dòng)化審計(jì)
采用自動(dòng)化的代碼審計(jì)工具輔助審核,依賴于自動(dòng)化工具的強(qiáng)大的安全編碼規(guī)則集。能夠快速的對(duì)常規(guī)的安全漏洞進(jìn)行發(fā)現(xiàn)和定位,有助于提高代碼審計(jì)的工作效率和覆蓋度,是一種常用的輔助手段。
手工代碼審計(jì)的優(yōu)缺點(diǎn)
優(yōu)點(diǎn)
? 能夠深入研究代碼路徑,檢查設(shè)計(jì)和體系結(jié)構(gòu)中的邏輯錯(cuò)誤和缺陷,大多數(shù)自動(dòng)化工具都無(wú)法找到這些錯(cuò)誤和缺陷
? 與一些自動(dòng)化工具相比,手動(dòng)檢測(cè)授權(quán)、身份驗(yàn)證和數(shù)據(jù)驗(yàn)證等安全問(wèn)題的效果更好
? 對(duì)于值的應(yīng)用程序,總是有額外的利用空間(需要經(jīng)過(guò)培訓(xùn)的)
? 查看其他人的代碼是共享安全代碼和AppSec知識(shí)的好方法
缺點(diǎn)
? 要求精通應(yīng)用程序中使用的語(yǔ)言和框架,并需要對(duì)安全性有深入的理解
? 不同的評(píng)審人員將生成不同的報(bào)告,從而導(dǎo)致評(píng)審人員之間的結(jié)果不一致——盡管同行評(píng)審可以是一個(gè)修復(fù)方法
? 測(cè)試和編寫報(bào)告是及時(shí)的,并且經(jīng)常需要開(kāi)發(fā)人員參加有時(shí)很長(zhǎng)時(shí)間的訪談會(huì)議,以便為審查人員提供上下文,這消耗了開(kāi)發(fā)人員的時(shí)間和資源
? 對(duì)代碼行數(shù)超過(guò)10-15k的應(yīng)用程序的手動(dòng)審查于針對(duì)高風(fēng)險(xiǎn)功能
