源代码安全扫描及服务技术方案.pptVIP

扫描内容 强类型检查 变量值跟踪 语义信息 错误分类 语法错误 内部错误 致使错误 告警 消息 赋值顺序检查 弱定义检查 格式检查 缩进检查 Const 变量检查 对象比较 空的try/catch/finally块 源代码扫描除了提供上述核心内容之外，还提供下列内容以供用户选择 汇报提纲 扫描内容 2 定价方案 4 服务介绍 3 3 背景介绍 3 1 服务介绍 常规扫描 常规扫描所包含的扫描内容 缺陷检测：包含C++/JAVA所支持的语言缺陷类型检测 安全漏洞检测：包含C++/JAVA所支持的安全漏洞检测 软件架构分析 软件度量分析 可定制的代码分析 软件代码规范 开发人员IDE集成 版本扫描 缺陷检测 安全漏洞检测 可定制的代码分析 软件代码规范 临时扫描 缺陷检测 安全漏洞检测 服务介绍——服务形式 简介—根据所包含的扫描内容不同分为三种服务形式 服务介绍 任何一种服务形式都将包含下列完整的服务内容 需求调研: 需求工程师现场与客户沟通，制定需求计划，确定清楚客户的服务需求。优点：贴近客户，灵活主动的制定客户服务需求 环境搭建: 搭建扫描环境，进行扫描工作的配置，最后生成维护手册，方便维护。 策略制定:根据客户项目情况，讨论制定扫描策略，策略分为4个等级，根据情况设计扫描策略，进行预扫描，扫描结果进行分析，验证后，跟客户讨论制定出最终的扫描策略 代码扫描: 现场扫描代码，根据制定的扫描策略完成扫描工作 报告分析: 对扫描的结果数据进行统计，形成报告，分析扫描的结果，给出代码改进的建议方案。 策略优化: 根据扫描的结果，结合项目的实际情况，优化扫描策略。 技术培训: 对客户进行扫描技术的培训 服务介绍——服务内容 简介—无论客户选择可种服务形式,我们都将提供完整的服务内容 步骤一 针对项目所需要的相关 硬件,软件资源进行协调,包括网络的搭建事宜;确保整个环境是通畅稳定的. 步骤二 将项目所使用的相关软件工具 进行安装,同时将相关的配置设定好,确保软件可以正常使用 步骤三 利用工具对开发商的测试代码进行了工具试用,掌握了该软件的使用方法和后续的扫描流程 软件安装 软件联调 环境搭建 服务介绍 服务介绍——环境部署 根据扫描结果 进行相关的调整 源代码预扫描 源代码扫描 源代码预扫描 扫描策略调整优化 源代码扫描 服务介绍——策略制定流程 服务介绍 扫描策略最终版形成 扫描策略定制优化 扫描策略调整优化 初步扫描策略定制 进行中 进行中 进行中 进行中 服务介绍 服务介绍——策略优化 源代码扫描 对源代码进行扫静态扫描,先生成扫描报告 扫描分析报告生成 对扫描报告进行分析,里面包含了各类错误的详细分析;生成扫描分析报告文档 详细的扫描分析报告可以参考下面文档: 服务介绍——报告分析 服务介绍 汇报提纲 扫描内容 2 定价方案 4 服务介绍 3 3 背景介绍 3 1 感谢聆听！ Thanks for your time! * KEY SLIDE MESSAGE: Klocwork is proven in some of the largest and most complex development shops in the world. Customers like Motorola, Johns Hopkins/DARPA, and Lawrence Livermore have all had great results:- 50% reduction in coding issues found at system test $200,000 savings on a relatively small project Johns Hopkins saved 900 person hours Our customer strength lies across several industries and includes many of the biggest brand names in their respective industry. * * * * * * * 汇报提纲 扫描内容 2 定价方案 4 服务介绍 3 3 背景介绍 3 1 项目背景——源代码安全扫描及服务项目 随着市场竞争的日益激烈，以及通信与计算机技术的不断发展，业务支持系统的软件规模日益庞大，应用环境日益复杂，新业务需求层出不穷，旧业务不断更新优化;对系统源代码的质量要求也越来越高.从提高系统的安全性及稳定性出发;由中国移动广东分公司牵头针对开发商(目前是针对华为,从兴)的源代码进行质量控制,保证源代码