360代码安全保障系统V5.0.PDF

360 代码安全保障系统V5.0 技术白皮书 代码卫士技术白皮书 目录 图索引 2 1 引言 1 1.1 背景 1 1.2 源代码安全现状 1 1.2.1 源代码检测产品国外品牌占据主流2 1.2.2 难与开发或测试流程融合2 1.2.3 无法评估开源组件风险2 1.2.4 个性化的需求支持不足2 2 新一代源代码安全检测系统 3 2.1 产品架构 3 2.2 产品功能4 2.2.1 源代码缺陷管理4 2.2.2 源代码合规管理 5 2.2.3 源代码溯源检测 5 2.2.4 开发与测试流程整合 5 2.2.5 报告与报表 6 2.3 产品特点7 2.3.1 与开发和测试流程的无缝整合7 2.3.2 缺陷管理+合规管理7 2.3.3 自动周期检测7 2.3.4 缺陷趋势分析7 2.3.5 缺陷知识反馈 8 2.3.6 灵活扩展性及个性化定制 8 3 典型应用 8 3.1 独立部署 8 3.2 与开发测试流程整合部署9 4 用户收益 9 4.1 有效降低软件安全问题修复成本 9 4.2 自主、可控的源代码安全解决方案 10 4.3 最小代价实现软件“基因”优化 10 4.4 “一站式”源代码安全解决方案 10 5 服务支持 10 5.1 服务内容错误!未定义书签。 5.2 服务联系窗口 16 ©2015 360 企业安全集团 密级：公开 代码卫士技术白皮书 图索引 图 2- 1 代码卫士产品架构4 图 2-2 缺陷检测结果示意图 6 图 2-3 缺陷统计报表示意图7 图 3- 1 独立部署示意图 8 图 3-2 与开发测试流程整合部署示意图 9 ©2015 360 企业安全集团 密级：公开 代码卫士技术白皮书 1 引言 1.1 背景 随着网络技术和应用的飞速发展，信息系统安全正面临着前所未有的挑战。网络化 和互联互通性已经成为当前软件和信息系统发展的大势所趋，信息系统与互联网或其他 网络的互连，也将导致系统受攻击面增大，使系统面临的安全威胁空前的增加。另一方 面，随着构建在信息系统之上的各种业务应用的不断丰富，软件和信息系统复杂程度的 不断提高，系统中隐藏的各种安