fortify开发代码检测服务咨询客服「在线咨询」

银行应用代码审计方案

银行是网络攻击的主要目标，企业也将信息安全作为其的关注点之一。近年来，银行系统的安全事件不绝于耳。导致这些攻击事件的主要根源是由于应用程序自身的漏洞，因此保障应用安全成了当前银行业信息安全的工作重点。

银行面临的应用安全问题主要有以下几个方面：

1、 应用数量庞大，实现全部安全测试并实时监控的难度很大。

要想实现对所有的应用进行详尽的安全测试，并在其版本更新时立即进行回归测试，无论是人工测试还是利用传统渗透测试工具及静态代码扫描工具都无法很好的达到目的。人工的方式太耗费人力。渗透测试工具依赖于人，且对于很多测试路径无法达到。静态工具误报率高，扫描的效率低下。

2、 为了应对需求变更，金融行业软件大量使用敏捷开发的模型，这使得安全代码审核的工作量加大。

敏捷开发的模型的特点是迭代，频繁的版本发布加大的安全代码审核的工作量，人工审核的方式已无法全部覆盖到。

3、 有大量项目是外包开发，其安全质量无法把控。

外包团队往往只注重对功能需求的完成，而不太顾及代码质量与安全问题。 企业没有很好的方法在过程中加强安全质理的管理。

对外包团开发的代码进行安全审计是银行保障应用安全的关键活动。SECZONE经过多年的安全服务的积累，对于银行外包代码安全审计形成了包括培训、S-SDLC流程、IAST技术组成的成熟解决方案。

1、应用安全培训

2、S-SDLC软件安全开发生命周期流程

3、利用IAST工具进行源码审核

4、兼容敏捷开发模式

5、实现对外包团队开发质量的控制

代码审计——客户收益

明确安全隐患点代码审计能够对整个信息系统的所有源代码进行检查，从整套源代码切入终明至某个威胁点并加以验证，以此明确整体系统中的安全隐患点。提高安全意识任何的隐患在代码审计服务中都可能造成“千里之堤溃于蚁穴” 的效果，因此代码审计服务可有效督促管理人员任何一处小的缺陷，从而降低整体风险。提高开发人员安全技能在代码审计服务人员与用户开发人员的交互过程中，可提升开发人员的技能。 另外，通过的代码审计报告，能为用户开发人员提供安全问题的解决方案， 完善代码安全开发规范。

代码安全审计的对象和内容


源代码安全检测主要对象包括并不限于对Windows和Linux系统环境下的语言进行审核，例如C、C++、OC、C#、Java、PHP、JSP、ASPX、Java、Python、Cobol、Go等进行安全审计测试。

源代码安全检测的主要内容包括但不限于：

1、WEB应用框架安全性；

2、WEB应用程序的权限架构；