源代码安全扫描及服务技术方案.ppt

服务介绍 常规扫描 常规扫描所包含的扫描内容 缺陷检测：包含C++/JAVA所支持的语言缺陷类型检测 安全漏洞检测：包含C++/JAVA所支持的安全漏洞检测 软件架构分析 软件度量分析 可定制的代码分析 软件代码规范 开发人员IDE集成 版本扫描 缺陷检测 安全漏洞检测 可定制的代码分析 软件代码规范 临时扫描 缺陷检测 安全漏洞检测 服务介绍——服务形式 简介—根据所包含的扫描内容不同分为三种服务形式 第三十页，共三十八页。 服务介绍 任何一种服务形式都将包含下列完整的服务内容 需求调研: 需求工程师现场与客户沟通，制定需求计划，确定清楚客户的服务需求。优点：贴近客户，灵活主动的制定客户服务需求 环境搭建: 搭建扫描环境，进行扫描工作的配置，最后生成维护手册，方便维护。 策略制定:根据客户项目情况，讨论制定扫描策略，策略分为4个等级，根据情况设计扫描策略，进行预扫描，扫描结果进行分析，验证后，跟客户讨论制定出最终的扫描策略 代码扫描: 现场扫描代码，根据制定的扫描策略完成扫描工作 报告分析: 对扫描的结果数据进行统计，形成报告，分析扫描的结果，给出代码改进的建议方案。 策略优化: 根据扫描的结果，结合项目的实际情况，优化扫描策略。 技术培训: 对客户进行扫描技术的培训 服务介绍——服务内容 简介—无论客户选择可种服务形式,我们都将提供完整的服务内容 第三十一页，共三十八页。 步骤一 针对项目所需要的相关 硬件,软件资源进行协调,包括网络的搭建事宜;确保整个环境是通畅稳定的. 步骤二 将项目所使用的相关软件工具 进行安装,同时将相关的配置设定好,确保软件可以正常使用 步骤三 利用工具对开发商的测试代码进行了工具试用,掌握了该软件的使用方法和后续的扫描流程 软件安装 软件联调 环境搭建 服务介绍 服务介绍——环境部署 第三十二页，共三十八页。 源代码安全扫描及 审计服务 ——方案报告 2012年08月 第一页，共三十八页。 汇报提纲 扫描内容 2 定价方案 4 服务介绍 3 3 背景介绍 3 1 第二页，共三十八页。 项目背景——源代码安全扫描及服务项目 随着市场竞争的日益激烈，以及通信与计算机技术的不断发展，业务支持系统的软件规模日益庞大，应用环境日益复杂，新业务需求层出不穷，旧业务不断更新优化;对系统源代码的质量要求也越来越高.从提高系统的安全性及稳定性出发;由中国移动广东分公司牵头针对开发商(目前是针对华为,从兴)的源代码进行质量控制,保证源代码的质量;确保系统稳定,高效的运行 行业现况 项目规模越来越庞大,业务复杂度越来越高 开发团队庞大,个人开发风格,水平不一致,导致开发出来的代码质量高低不一 对行业项目的安全要求越来越高,因此对项目的质量则越高 由此上三大因素,故引入代码扫描控制不利因素,提升质量 引入背景 背景介绍 第三页，共三十八页。 项目优点 优点1 优点2 源代码扫描是基于专利技术分析引擎开发的软件基础上实施 综合应用了多种近年来最先进的静态分析技术 是出色的软件静态分析软件 是唯一集效率与速度为一身的强大而又精确的企业级源代码分析工具 通过该项目开发人员在桌面端快速而准确的定位安全隐患识别错误 和软件架构问题；通过项目分析软件研发经理可以直接看到软件代码和架构的 安全性和可靠性视图，避免软件研发经理往往需要研读软件代码才能发现软件中的问题的弊端软件安全经理可以在软件开发生命周期中发现、 评估、纠正和度量软件安全 第四页，共三十八页。 项目效益 引进代码扫描项目之后当年的项目成本降低50% 引进代码扫描项目之后项目成本缩减200000美金 We had a very tight schedule and without Klocwork Insight, we would have had difficulty meeting our objectives on time. 项目引进代码扫描项目之后项目成员减少900h/人的工作成本 “ “ Justin Thomas, Software Team Lead, Johns Hopkins APL CC 第五页，共三十八页。 源码扫描在NGBOSS的应用 Klocwork 是一个企业级源代码分析工具,支持对c,c++,java和c#语言的扫描分析;可快速而准确的定位安全隐患、识别错误 和软件架构问题,为各大企业节约大量的成本,降低了整个软件过程中的风险成本 在对从兴NGBOSS项目引进klocwork之后,一共扫描了12次,其版本质量明显提升;在以往代码出现的诸如内存溢出,数据越界等较严重错误的数量大幅下降.同时对各种