2023年5月1日,《信息安全技術 關鍵信息基礎設施安全保護要求》正式實施,這是我國首次發布關鍵信息基礎設施安全保護總綱性標準,對指導我國關鍵信息基礎設施安全保護工作,具有深遠意義。該標準的“供應鏈安全保護”中,明確要求對關基定制開發的軟件進行代碼安全檢測。海峽信息立足客戶需求,幫助關基用戶加強軟件安全審計與評估,在軟件生命周期的早期階段完成深度代碼檢測,全力提升系統的安全性和穩定性,助力保障關基行業實現安全數字化發展。
定制化軟件代碼審計,可以幫助用戶對軟件漏洞形成量化認知,發現深層次問題隱患,提升自身安全防御能力。源代碼安全審計按照實施方法劃分,分為白盒代碼審計與灰盒代碼審計,審計主要流程如圖所示:
代碼審計工作前,要對代碼審計的目標對象的架構、數據流走向進行梳理,如基于JAVA語言的代碼審計:
1.首先查看配置文件web.xml:通過查看過濾器、各類方法等,可初步查看項目是否配置了全局性的安全機制,以及各類方法的uri、對應加載類的路徑等信息;
2.其次理清架構、接口及數據流:通過框架,如struts、spring框架配置文件,摸清項目架構、接口及項目數據流信息等。
近年來,隨著云原生、開源中間件、應用容器化等技術的廣泛應用,軟件、信息系統供應鏈攻擊開始逐步向多元化發展,如何發現關基軟件在開發過程中出現的安全問題,成為了關基行業亟待解決的問題。海峽信息在多個項目的實踐過程中,采用代碼審計工具結合人工分析的方式,對關基軟件代碼進行深入排查分析,精確定位代碼中的潛在安全缺陷,并提供詳細的解決方案,進一步提升關基軟件代碼安全,構建新安全保障新發展格局。
在某關基通用軟件代碼審計案例中,我們通過代碼審計方式對某應用非常廣泛的關基軟件進行代碼安全檢測,發現了在常規的黑盒滲透測試過程中難以發現的安全隱患,該安全問題影響面甚廣,影響多個關基行業,存在數據泄露風險。
通過漏洞讀取服務器任意文件
海峽信息深耕于軟件代碼安全領域,擁有一批代碼審計安全專家,近年來,挖掘了數百個國家信息安全漏洞共享平臺(CNVD)原創漏洞,獲得CNVD原創漏洞證書數百張、CNVD年度最有價值漏洞獎、CNVD月度漏洞排行榜TOP5等榮譽。未來,海峽信息將持續深入軟件代碼安全研究,為政府、企業、關基等行業提供軟件安全技術支撐,為護航數字中國網絡安全建設貢獻力量。
返回頂部