XXX企业源代码安全测试方案建议书.docVIP

中国XXXX企业软件安全测试技术建议方案 一、信息安全的现状 确保计算机系统和应用免受侵入和破坏是管理商业风险最为重要的一部分,每年企业都花了数百万美元的成本在计算机软件,硬件和服务方面去保护他们的IT系统,数据免受诸如病毒. worms, ,黑客攻击，我们期望花更多的预算去减轻我们商业应用系统的信息安全，但是结果并不是我们想象的那样，现目前我们的信息系统仍然处在不安全的境地，据IDC的统计，至少有75%的企业发现他们的系统被黑客成功地攻击过。我们已经建立了非常完善的认证系统、网络安全系统、入侵检测的防范措施，为什么我们的系统还是处在不安全的境地呢？通过全球的一些信息安全专家的调查和分析，他们得出这样一个结论：目前我们信息安全的主要问题：是应用软件安全问题，而不是我们通常所认为的网络问题，操作系统问题…….。这下面是来自Gartner Group 和NIST的分析报告。 “Over 75% of security vulnerabilities exist at the application layer, not the network layer. It’s not just operating systems or web browsers, but all types of applications - particularly applications that automate key business processes.” ----Gartner Group 2008 因此，应用软件的自身的安全问题是我们信息安全领域最为关心的问题，也是我们面临的一个新的领域，需要我们所有的在应用软件开发和管理的各个层面的成员共同的努力来完成。 二、中国XXXX企业的软件安全现状 中国XXXX企业是目前的应用软件开发主要采取软件外包和自主研发相结合的模式，对于中国XXXX企业来讲，应用软件自身的安全问题，也是一个几乎全新的领域，但是他们已经意识到这是他们下一阶段为确保信息安全必须要做的一个非常重要的事情，在我们与他们前期的交流中我们了解到目前他们在实现开发应用安全软件方面还存在如下一些问题： 外包团队和公司的研发团队对于开发安全的应用软件的意识不浓和知识不足。许多已经被OWASP、ISO17799、PCI等信息安全组织标识为严重软件安全漏洞的问题了解不足，或者了解深度不够，从而造成他们在编码的时候没有考虑到部分软件安全漏洞或者在安全漏洞的预防方面不够彻底和充分，因此在他们的应用系统中存在着许多诸如SQL-injection, Cross-site-Script 的软件安全漏洞。 没有完善的应用软件安全的审计策略和措施。由于缺少应用软件安全保护方面的知识，因此目前对于外包团队的项目进行软件安全审计的时候不知道在在软件的安全方面具体要审核那些内容，以及如何去预防这些漏洞，现目前也没有借助一些自动化的工具，因此对应用软件的原代码审计只能采用人工的方式，显得费时费力，并且效率低下，很多漏洞都未能检查到，迫切需要一种新的安全审计策略和措施来加强软件安全的审计问题。 没有应用安全信息的管理平台 没有一个集中的应用安全信息管理平台供开发人员、审计人员和管理层交流，不便于内部对与软件项目的安全风险进行收集、处理、分析和预测和评估。 三、Fortify Software简介 Fortify Software 2003 年由Kleiner Perkin Claufield Byers 风险基金投资成立，总部设在美国加州硅谷。Fortify Software 是世界上第一个提出软件安全新理念的公司，并于2004年推出业界第一款产品。公司CTO兼创始人Mr Roger Thornton 是世界软件安全这一新领域的主要缔造者， 公司另一创始人Dr Brian Chess 是世界级安全专家。Fortify Software的产品主要为软件源代码扫描器，软件应用监控， 渗透测试覆盖率检测等。公司拥有150多项专利，居行业之首。目前全球已有600家客户，其中银行，保险，证券占一半以上。全球8大银行如汇丰，花旗，WellsFargo， Morgan已全部采用Fortify Software的解决方案。其他领域的客户为电子商务类的eBay, Google, 软件厂商Oracle，Microsoft 和EMC等以及政府部门。 2008年4月Fortify Software 在中国设立了北京代表处，并对产品的关键内容进行了汉化。 Fortify software 部分中国客户名单 国内的主要客户： 四、Fortify Software 公司应用软件安全开发和