代码安全 jrj.pptVIP

  1. 1、本文档共71页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
代码安全 jrj

IBM RATIONAL 源代码测试作为软件生命周期一环 日常审计 IBM RATIONAL 安全分析人员筛选结果并提交 IBM RATIONAL 项目经理和团队成员决定优先级 IBM RATIONAL 开发人员纠正安全问题 IBM RATIONAL RUP 阶段 在退出前要达到的里程碑 初始 清晰地了解在开发软件的标准和规则 必须相对于商业目标,了解安全性需求,编制文档,并划分优先级 如果此时都知道了所有的对进度可能有风险的架构上重要的需求,那么就应该在精化阶段对它们标记优先级 精化 完成安全性用例和需求的设计 确定项目计划,及构建阶段的迭代,确保安全性需求被验证为迭代目标的一部分 整个测试策略(在迭代的里程碑和正在进行的基础上)中包含 Ounce 5 安全性测试计划 如果合适,为具体的策略定制 Ounce 5 构建 完全实现安全性设计和架构 在构建的迭代过程中,验证所有的安全性用例 自动进行源代码分析,确保没有引入糟糕编码实践所导致的弱点 应该更好地培训开发人员,进行安全编码最佳实践 产品化 在部署前完成最终的验收测试 建立对正在进行的增强和维护的准备 将应用程序风险作为已部署的应用程序的更大的项目组合的一部分进行管理 FINDBUG ~~ JAVA静态分析工具 FINDBUG ~~ 自定义缺陷检测器 清单 1. 监护日志示例 if(Logger.isLogging()) { Logger.log(perf,anObjectWithExpensiveToString + anotherExpensiveToString); } FINDBUG ~~ 自定义缺陷检测器 自定义的缺陷检测器 清单 2. 未监护日志检测器:visit() 方法 18 public void visit(Code code) { 19 seenGuardClauseAt = Integer.MIN_VALUE; 20 logBlockStart = 0; 21 logBlockEnd = 0; 22 super.visit(code); 23 } FINDBUG ~~ 自定义缺陷检测器 FINDBUG ~~ 自定义缺陷检测器 FORTIFY 360产品家族 静态代码分析器SCA 在开发阶段,用于分析应用程序的源代码是否存在安全漏洞。 通过分析应用程序可能会执行的所有可能的路径,SCA从源代码上识别软件的漏洞。 程序跟踪分析器PTA 这是一个安全测试分析器,这个工具可以使QA测试人员在实施QA测试的过程中能够对软件安全脆弱性和安全漏洞进行识别。 实时安全分析器RTA RTA是工作在产品内部的应用程序,并且它对应用程序受到攻击的方式提供不断地监测。它揭示什么攻击正在发生,并深入观察应用程序哪里存在脆弱性。 静态代码分析器SCA 业界最完整的静态代码分析器 专利X-Tier?数据流分析器 确认安全漏洞上的无与伦比的准确性 支持多种语言平台 程序跟踪分析器PTA 易于安装 捕获严重的漏洞 精确测试结果 实时安全分析器RTA 在线实时的安全监测 应用层的洞察力 积极保护 防止欺诈 静态代码分析器SCA 静态代码分析器SCA FORTIFY优势 关键区别 优点 ??? 拥有最庞大的安全编码规则包 ??? 分析引擎所用到的规则的质量与数量决定着源代码分析的效能。Fortify的软件两年前率先开始并大量投资建立规则库,它提供最有效地代码分析。 ??? 发现黑客常常使用的那些细微的漏洞。 ??? 在安全测试中你需要去发现一些尖锐的情况,要做到这样唯一的办法就是有一个精确的,全面的,综合的解决方案。 ??? 在庞大的,多层的,混合的语言执行中侦察和补救漏洞。 ??? 现实世界中的应用软件中,数据流是跨层的,并且常常是从这个语言层跨到另一个语言层,只有Fortify的X-Tier允许你在这个种情况下自动地进行数据流的分析。 ??? 在编码规则的基础上评审数以百万的源代码。 ??? 最庞大的安全编码规则包提供精确的分析,并具有对结果进行度量的能力。 ??? 精确地识别代码级别的漏洞。 ?? ?评审者能够评估所有潜在的问题。 ??? 开发人员能够关注优先权最高的问题。 ??? 支持不同的软件开发平台 ??? 需要对现在所使用各种IDE,语言,操作环境的支持。同时你也需要在将来你对安全技术选择上不受限制。 漏洞成因 没有内嵌支持的边界保护 User funcs Ansi C/C++: strcat(),

文档评论(0)

hello118 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档