1、中國 XXXX 企業(yè)軟件安全測試技術建議方案一、信息安全的現(xiàn)狀確保計算機系統(tǒng)和應用免受侵入和破壞是管理商業(yè)風險最為重要的一部分,每年企業(yè)都花了數(shù)百萬美元的成本在計算機軟件 , 硬件和服務方面去保護他們的 IT 系統(tǒng) ,數(shù)據免受諸如病毒 . worms, , 黑客攻擊，我們期望花更多的預算去減輕我們商業(yè)應用系統(tǒng)的信息安全， 但是結果并不是我們想象的那樣， 現(xiàn)目前我們的信息系統(tǒng)仍然處在不安全的境地，據 IDC 的統(tǒng)計，至少有 75% 的企業(yè)發(fā)現(xiàn)他們的系統(tǒng)被黑客成功地攻擊過。 我們已經建立了非常完善的認證系統(tǒng)、 網絡安全系統(tǒng)、入侵檢測的防范措施， 為什么我們的系統(tǒng)還是處在不安全的境地呢？通過全球的一

2、些信息安全專家的調查和分析， 他們得出這樣一個結論： 目前我們信息安全的主要問題：是應用軟件安全問題，而不是我們通常所認為的網絡問題，操作系統(tǒng)問題 .。 這下面是來自 Gartner Group和 NIST 的分析報告?！?Over 75% of security vulnerabilities exist at the application layer, not thenetwork layer. It s not just operating systems or web browsers, but all types ofapplications - particularly appl

3、ications that automate key business processes.”-Gartner Group 200892% of reported vulnerabilities are inapplications, not networks0% 1% 2%2% 3%Encryption ModuleNetwork Protocol Stack15%41%36%Source: NISTOtherCommunication ProtocolHardwareOperating SystemNon-Server ApplicationsServer Applications因此，應

4、用軟件的自身的安全問題是我們信息安全領域最為關心的問題， 也是我們面臨的一個新的領域， 需要我們所有的在應用軟件開發(fā)和管理的各個層面的成員共同的努力來完成。二、中國XXXX 企業(yè)的軟件安全現(xiàn)狀中國 XXXX 企業(yè)是目前的應用軟件開發(fā)主要采取軟件外包和自主研發(fā)相結合的模式，對于中國 XXXX 企業(yè)來講，應用軟件自身的安全問題，也是一個幾乎全新的領域，但是他們已經意識到這是他們下一階段為確保信息安全必須要做的一個非常重要的事情， 在我們與他們前期的交流中我們了解到目前他們在實現(xiàn)開發(fā)應用安全軟件方面還存在如下一些問題：1 、 外包團隊和公司的研發(fā)團隊對于開發(fā)安全的應用軟件的意識不濃和知識不足。許多已

5、經被 OWASP 、ISO17799 、PCI 等信息安全組織標識為嚴重軟件安全漏洞的問題了解不足，或者了解深度不夠，從而造成他們在編碼的時候沒有考慮到部分軟件安全漏洞或者在安全漏洞的預防方面不夠徹底和 充 分，因此 在他 們的 應用系統(tǒng) 中存 在著 許多 諸如 SQL-injection,Cross-site-Script的軟件安全漏洞。2 、 沒有完善的應用軟件安全的審計策略和措施。由于缺少應用軟件安全保護方面的知識，因此目前對于外包團隊的項目進行軟件安全審計的時候不知道在在軟件的安全方面具體要審核那些內容，以及如何去預防這些漏洞，現(xiàn)目前也沒有借助一些自動化的工具，因此對應用軟件的原代碼審

6、計只能采用人工的方式，顯得費時費力，并且效率低下，很多漏洞都未能檢查到，迫切需要一種新的安全審計策略和措施來加強軟件安全的審計問題。3 、沒有應用安全信息的管理平臺沒有一個集中的應用安全信息管理平臺供開發(fā)人員、審計人員和管理層交流，不便于內部對與軟件項目的安全風險進行收集、處理、分析和預測和評估。三、 Fortify Software簡介Fortify Software 2003年由 Kleiner Perkin Claufield& Byers風險基金投資成立，總部設在美國加州硅谷。 Fortify Software 是世界上第一個提出軟件安全新理念的公司，并于 2004 年推出業(yè)界第一款產

7、品。 公司 CTO 兼創(chuàng)始人 Mr RogerThornton 是世界軟件安全這一新領域的主要締造者， 公司另一創(chuàng)始人 Dr Brian Chess 是世界級安全專家。 Fortify Software 的產品主要為軟件源代碼掃描器，軟件應用監(jiān)控， 滲透測試覆蓋率檢測等。 公司擁有 150 多項專利，居行業(yè)之首。目前全球已有600 家客戶，其中銀行，保險，證券占一半以上。全球8 大銀行如匯豐，花旗，WellsFargo ， Morgan 已全部采用 Fortify Software 的解決方案。其他領域的客戶為電子商務類的 eBay, Google, 軟件廠商 Oracle ，Microsof

8、t 和 EMC 等以及政府部門。 2008 年 4 月 Fortify Software 在中國設立了北京代表處，并對產品的關鍵內容進行了漢化。Fortify software部分中國客戶名單國內的主要客戶：四、Fortify Software公司應用軟件安全開發(fā)和管理方案軟件源代碼安全掃描、審計和管理方案Fortify Software 公司的應用軟件安全開發(fā)和管理方案為應用軟件開發(fā)的組織和安全審計的人員和應用安全管理人員提供工具和確立最佳的應用軟件安全實踐和策略，幫助他們在軟件開發(fā)的生命周期中以最短的時間、 花最少的成本去識別和修復軟件的安全隱患。其產品組成如下：Fortify Sourc

9、e Code Analysis suite（SCA ）包含：A.Fortify Source Code Analysis Engine（源代碼分析引擎）采用數(shù)據流分析引擎，語義分析引擎，結構分析引擎，控制流分析引擎，配置分析引擎和特有的X-Tier跟蹤器從不同的方面查看代碼的安全漏洞，最大化降低代碼安全風險。B.Fortify Secure Code rules：Fortify（軟件安全代碼規(guī)則集）采用國際公認的安全漏洞規(guī)則和眾多軟件安全專家的建議，輔助軟件開發(fā)人員、安全人員和管理人員快速掌握軟件安全知識、 識別軟件安全漏洞和修復軟件安全漏洞。其規(guī)則的分類和定義被眾多國際權威機構采用，包括美國

10、國土安全（CWE ）標準、OWASP ，PCI等。C.Fortify Audit Workbench（安全審計工作臺）輔助開發(fā)人員、安全審計人員對Fortify Source Code Analysis Engines（源代碼分析引擎）掃描結果進行快速分析、查找、定位和區(qū)分軟件安全問題嚴重級別。D.Fortify Rules Editor（安全規(guī)則構建器）提供自定義軟件安全代碼規(guī)則功能， 滿足特定項目環(huán)境和企業(yè)軟件安全的需要。E.Fortify SCA plug in（Fortify SCA IDE集成開發(fā)插件）Eclipse, Visual Studio, RAD集成開發(fā)環(huán)境中的插件，便于開

11、發(fā)者在編寫代碼過程中可以直接使用工具掃描代碼，立刻識別代碼安全漏洞，并立即根據建議修復，消除安全缺陷在最初的編碼階段，及早發(fā)現(xiàn)安全問題，降低安全問題的查找和修復的成本。Fortify 360 Server （軟件安全管理器）基于 WEB 企業(yè)用戶接口的軟件安全信息存儲 分析 評估和報告的軟件安全管理平臺 .主要功能是定義和監(jiān)視軟件安全策略、 跟蹤和報告軟件安全趨勢、跨多個應用管理軟件安全風險。公司的管理層可以通過對目前商業(yè)應用系統(tǒng)的分析而得出應用軟件的安全策略，安全的策略使用管理平臺進行管理和跟蹤， 安全的審計人員在貫徹公司的安全策略的同時， 通過配置或者自定義軟件安全規(guī)則來達到策略的要求，

12、并為開發(fā)團隊或者外包團隊員提供安全代碼規(guī)范， 當開發(fā)人員在開發(fā)代碼時， 使用源代碼掃描工具自動識別安全漏洞并修復它，并向審計人員提供已經開發(fā)完的源代碼，審計人員審核代碼是否合乎公司的安全代碼規(guī)范和安全策略， 并上傳報告給公司的管理層。五、建議實施方案根據目前的軟件項目開發(fā)和軟件測試狀況，F(xiàn)ortify 公司相信， Fortify 完整的安全測試解決方案和多年的部署實施經驗，一定能幫助中國XXXX 企業(yè)解決軟件安全的問題。根據多年的客戶實施經驗，我們推薦中國XXXX 企業(yè)采用以下實施方案：方案概要：(1) 使用 Fortify SCA+360 Server+Collaboration Modul

13、e建立軟件源代碼安全審計模式產品部署及使用角色設置方案方案目的 ：本方案通過建立一套完整的安全測試審計制度，減少由不規(guī)范、不安全的編碼而產生的安全性漏洞，來真正地幫助中國 XXXX 企業(yè)提高其 IT 應用系統(tǒng)的質量和安全性，提高源代碼安全開發(fā)，測試及安全管理水平。使用模式： Gate 審計模式：根據 Fortify 對中國 XXXX 企業(yè)目前軟件開發(fā)項目流程的了解， 結合 Fortify 多年來為全球客戶成功實施部署的經驗， Fortify 建議 XXXX 企業(yè)實施“ Gate ”模式的審計方式，即在驗收測試階段引入安全測試，大部分 Fortify 的中國客戶最初都是使用這種模式。具體如下：S

14、CA 源代碼掃描需求分析架構設計編碼功能 /驗收測試QA/ 性能測試發(fā)布圖 1：Fortify SCA 審計模式示意圖“ Gate ”審計模式說明：軟件安全測試或審計人員通過代碼版本控制器，把開發(fā)人員提交的項目代碼的階段版本，用 Fortify SCA 進行掃描分析，并給予審計。審計人員將項目的審計結果報告于開發(fā)人員（或外包商）對其漏洞進行修復。審計通過的項目進入下一階段的其它測試或者正常階段發(fā)布。(4) 審計人員將每一次掃描審計的結果發(fā)布于Fortify 360 Server 中，便于管理人員查看漏洞，了解項目漏洞程度，安全趨勢等綜合狀況信息。同時，結合Fortify 360 Server的

15、 Collaboration Module功能，開發(fā)人員（外包商），審計人員，安全管理人員可以通過Web 方式查看到 SCA 的掃描結果以及審計狀態(tài)等詳細信息，方便對安全漏洞的查看，交流，溝通工作以及代碼的修改。六、 FortifySoftware應用軟件安全方案給中國XXXX 企業(yè)帶來的價值1、 豐富而全面軟件安全代碼規(guī)范及其文檔資料彌補中國XXXX 企業(yè)開發(fā)人員和管理人員應用軟件安全知識不足，讓大家盡快了解各種軟件安全漏洞的成因和修復方法。2、 使用 Fortify software 公司的 SCA 大大節(jié)約了開發(fā)人員和審計人員在識別軟件漏洞和修復安全漏洞的時間。3、 對于軟件外包的項目，能快速識別項目風險，防止外包團隊成