浩达恒业(北京)科技有限公司
电话:010-62997873
手机:15600219966
邮箱:liqian@haodahengye.com
地址:北京市海淀区清河安宁庄东路18号光华创业园7号楼304
  • 您的位置: 
  • 首页 |
  • 解决方案 | 应用安全整体解决方案
应用安全整体解决方案


     现阶段,构建安全代码已经成为新的漏洞防御手段,但是一句构建安全代码很简单,但具体是来怎么实现呢?其实是没有捷径的,
正如下图所示,如果说开发生命周期是一个大圆,那安全就是一个小圆分布在每一个开发环节中。

如何将SDLC理念和我们实际开发步骤进行有效的结合呢?软件安全业界总结了六个切入点,从软件开发的需求分析、架构设计、测试计划、编码、测试与验证、运行与维护每一个点都有切入的工作。如需求分析阶段,切入安全需求分析,对功能需求进行评定,看这个功能是否发生安全隐患,对我们系统的安全需求定一个级别。架构设计,对软件架构,实现技术进行安全评估,找出架构和技术上的安全隐患。测试计划,制定一个基于安全的测试计划。编码,要把源代码进行代码审查,查出源代码中存在的安全漏洞等。直到运维,每一个环节都有一到二个工作的切入。

那么这些安全工作如何实践呢?如下图所示,第一步就是代码审查,为什么呢?

有两个原因,一是代码审查工作切入的比较早,能起到立竿见影的效果,也有成熟的工具可以使用,如Fortify代码审查工具。还有一个原因就是源代码安全审查切入的时间比较早,成本比较低。如上图所示,所以第一步从代码审查入手是比较好的。 

Fortify公司推出了一个应用安全整体解决方案,如下图所示:

 

 

 

 

 

 

 


 


 


 


 


 

Copyright @ 2001-2017 浩达恒业(北京)科技有限公司 All rights reserved.
京ICP备13044008号


拥有自主知识产权,打造自有知名品牌。