代码安全 jrj.pptVIP

IBM RATIONAL 源代码测试作为软件生命周期一环 日常审计 IBM RATIONAL 安全分析人员筛选结果并提交 IBM RATIONAL 项目经理和团队成员决定优先级 IBM RATIONAL 开发人员纠正安全问题 IBM RATIONAL RUP 阶段 在退出前要达到的里程碑 初始 清晰地了解在开发软件的标准和规则 必须相对于商业目标，了解安全性需求，编制文档，并划分优先级 如果此时都知道了所有的对进度可能有风险的架构上重要的需求，那么就应该在精化阶段对它们标记优先级 精化 完成安全性用例和需求的设计 确定项目计划，及构建阶段的迭代，确保安全性需求被验证为迭代目标的一部分 整个测试策略（在迭代的里程碑和正在进行的基础上）中包含 Ounce 5 安全性测试计划 如果合适，为具体的策略定制 Ounce 5 构建 完全实现安全性设计和架构 在构建的迭代过程中，验证所有的安全性用例 自动进行源代码分析，确保没有引入糟糕编码实践所导致的弱点 应该更好地培训开发人员，进行安全编码最佳实践 产品化 在部署前完成最终的验收测试 建立对正在进行的增强和维护的准备 将应用程序风险作为已部署的应用程序的更大的项目组合的一部分进行管理 FINDBUG ~~ JAVA静态分析工具 FINDBUG ~~ 自定义缺陷检测器 清单 1. 监护日志示例 if(Logger.isLogging()) { Logger.log(perf,anObjectWithExpensiveToString + anotherExpensiveToString); } FINDBUG ~~ 自定义缺陷检测器 自定义的缺陷检测器 清单 2. 未监护日志检测器：visit() 方法 18 public void visit(Code code) { 19 seenGuardClauseAt = Integer.MIN_VALUE; 20 logBlockStart = 0; 21 logBlockEnd = 0; 22 super.visit(code); 23 } FINDBUG ~~ 自定义缺陷检测器 FINDBUG ~~ 自定义缺陷检测器 FORTIFY 360产品家族 静态代码分析器SCA 在开发阶段，用于分析应用程序的源代码是否存在安全漏洞。 通过分析应用程序可能会执行的所有可能的路径，SCA从源代码上识别软件的漏洞。 程序跟踪分析器PTA 这是一个安全测试分析器，这个工具可以使QA测试人员在实施QA测试的过程中能够对软件安全脆弱性和安全漏洞进行识别。 实时安全分析器RTA RTA是工作在产品内部的应用程序，并且它对应用程序受到攻击的方式提供不断地监测。它揭示什么攻击正在发生，并深入观察应用程序哪里存在脆弱性。 静态代码分析器SCA 业界最完整的静态代码分析器 专利X-Tier?数据流分析器 确认安全漏洞上的无与伦比的准确性 支持多种语言平台 程序跟踪分析器PTA 易于安装 捕获严重的漏洞 精确测试结果 实时安全分析器RTA 在线实时的安全监测 应用层的洞察力 积极保护 防止欺诈 静态代码分析器SCA 静态代码分析器SCA FORTIFY优势 关键区别 优点 ??? 拥有最庞大的安全编码规则包 ??? 分析引擎所用到的规则的质量与数量决定着源代码分析的效能。Fortify的软件两年前率先开始并大量投资建立规则库，它提供最有效地代码分析。 ??? 发现黑客常常使用的那些细微的漏洞。 ??? 在安全测试中你需要去发现一些尖锐的情况，要做到这样唯一的办法就是有一个精确的，全面的，综合的解决方案。 ??? 在庞大的，多层的，混合的语言执行中侦察和补救漏洞。 ??? 现实世界中的应用软件中，数据流是跨层的，并且常常是从这个语言层跨到另一个语言层，只有Fortify的X-Tier允许你在这个种情况下自动地进行数据流的分析。 ??? 在编码规则的基础上评审数以百万的源代码。 ??? 最庞大的安全编码规则包提供精确的分析，并具有对结果进行度量的能力。 ??? 精确地识别代码级别的漏洞。 ?? ?评审者能够评估所有潜在的问题。??? 开发人员能够关注优先权最高的问题。 ??? 支持不同的软件开发平台 ??? 需要对现在所使用各种IDE,语言，操作环境的支持。同时你也需要在将来你对安全技术选择上不受限制。 漏洞成因 没有内嵌支持的边界保护 User funcs Ansi C/C++: strcat(),