端玛科技启用源代码分析技术处理大数据.ppt

修复这里其实效率更高 第三十一页，共四十三页。 还有这？ 第三十二页，共四十三页。 自动提出“假设”问句= 找到最佳的修复位置 第三十三页，共四十三页。 比较这两种情况： 第三十四页，共四十三页。 图形可视化修复建议的优势 展示相同安全漏洞类型和不同问题调用之间的相关性。 处理的并不是个人或者单个问题路径的发现– 事实上是整个系统。 让您得以更好地利用时间 第三十五页，共四十三页。 Webgoat 220个修复位置示例 只要轻轻一点，我们就可以把220个位置缩减到16个。 结果越多，我们的解决方式就越能体现其效率 第三十六页，共四十三页。 QA Any Question？ 第三十七页，共四十三页。 代码安全漏洞和质量缺陷扫描云服务中心 为使用Java、JSP、JavaSript、 VBSript、C# 、ASP.net 、VB.Net、 VB6、 C/C++ 、ASP 、PHP, Ruby、Perl 、PL/SQL、 Android、OWASP ESAPI、MISRA、和Objective-C (iOS) .(AppExchange platform)、API to 3rd party languages 等多种语言开发的软件开发企业和项目提供源代码安全漏洞和质量缺陷扫描和分析，并提供结果审计 、管理 和报表生成。 第三十八页，共四十三页。 应用安全服务平台框架及内容 第三十九页，共四十三页。 启用源代码分析技术处理大数据 Checkmarx中国区技术专家 陈安明 第一页，共四十三页。 陈安明介绍 端玛科技总经理，独立应用安全风险分析师，Checkmarx中国区技术专家。 是中国最早从事源代码分析技术调查和研究人员，专门从事应用软件安全风险评估、风险消除、培训、教育和软件安全生命开发周期SDL咨询。其优秀的软件安全方案、产品及专业化的软件安全开发生命周期SDL服务已进入金融银行、保险、电信、汽车、媒体娱乐、软件、服务和军事等财富1000的企业 第二页，共四十三页。 议题概述 传统以安全为导向的源代码分析工具只能检测到黑客明显可以利用的漏洞，而且这些工具所找到的安全漏洞的数量非常多，即使这些结果是精确的，都很难在短时间修复，这样一来，我们就不得不面临两个现实问题： 一、我们如何对付那些工具没有覆盖到的代码？ 二、我们怎样才能提高安全漏洞修复的能力？ 为了应对这些挑战，我们把研究的侧重点放在了大数据分析领域，将大数据的先进技术与我们的研究整合到一起。借这次交流的机会，我想与大家分享一下我们的研究方法以及我们的成果。 第三页，共四十三页。 源代码分析的历史 第一代源代码分析 系统安全知识是通过绑定静态的规则体现。静态规则依据原始或者标准语言的缺陷来制定的，对用户而言，技术是不可见的。 用户代码架构和框架适应能力差。几乎无法适应在开发语言基础上用户私有的架构和框架代码封装的扫描。规则主要细节不公开，用户很难自定义或者调整规则满足用户自身的系统架构和代码封装的需求。 使用依赖操作系统环境和编译器 第四页，共四十三页。 第五页，共四十三页。 源代码分析的历史（续） 新一代源代码分析 系统的安全知识是通过绑定静态的规则体现。静态规则依据原始或者标准语言技术架构和框架的缺陷来制定的，公开规则实现的技术和细节。 用户代码架构和框架适应能力强。适应在开发语言基础上用户私有的架构和框架代码的扫描。规则主要细节完全公开，用户很容易自定义或者调整规则满足用户自身的系统架构和代码封装的需求。 能够任意添加自己需要的有关业务逻辑和代码质量相关的查询 使用简便！虚拟编译器，无须代码编译。无需依赖操作系统环境和编译。 分析范围：SQL 注入-〉恶意后门-〉代码质量缺陷 第六页，共四十三页。 Abstract Store 安全漏洞 代码质量 业务逻辑 第七页，共四十三页。 示例 第八页，共四十三页。 安全漏洞 质量缺陷 业务逻辑 应用程序智能分析 第九页，共四十三页。 SCKD源代码知识发现 “使用群体的智慧”（大数据） 通过代码的不规则性来识别安全漏洞 第十页，共四十三页。 零日？零配置？ 如果我们连自己要问什么问题都不清楚，该怎么办呢？ 如果我们没办法对系统进行配置，怎么办？ 我们需要一位“大师”， 来替我们问问题。 替我们配置系统。 替我们找到漏洞。 给我们提供指导。 第十一页，共四十三页。 有这样一位大师 是你！ 是你！ 是你！ 还是你！！！ 我们大家 – 形成集体智慧 大多数开发人员在大多数时间都能编写出好的、标准 、高质量代码 第十二页，共四十三页。 群体 我们可以根据代码统计来设定一个基准，并发现偏差。 第十三页，共四十三页。 源代码知识发现-SCKD 源代码知识发现– 时下最为活跃 的研究课