原始碼安全檢測
/ 10 5 月, 2018/ Product-Security
SCA (Static Code Analyzer)
CA使用於開發階段,可分析應用程式的程式碼是否存有安全漏洞。
SCA 原始碼檢測特點
1.檢測500種以上的問題類別及21種程式語言
可檢測之安全與品質問題類別包含:Cross-site Scripting ( XSS ) 、SQL Injection等安全問題;未針對可能的例外進行處理(Poor Error Handling) 、程式碼含有未使用到的程式碼(Unused Method) 、易造成記憶體洩漏的問題如:資源未釋放(Unreleased resource) 等品質問題。在程式語言方面,SCA的支援廣度達到業界最多,甚至COMOL也能夠進行檢測。
2.嚴重等級分類,加速修補效率
Fortify SCA會將找出的安全問題依據對系統的危害,作嚴重等級分類,可加速相關人員審查安全問題,加速開發人員修補時程。
3.安全規則定期更新
定期更新安全規則,由Fortify Software的安全專家和研發團隊持續更新,以保持最新的原始碼弱點分析基礎,並且能夠以精靈化的方式輕鬆訂定客製化之安全規則功能。
4.提供全面的資訊分析結果
SCA將分析結果,透過Audit WorkBench使用者介面提供安全弱點相關資訊,包含問題追踪流程(協助問題分析及確認)、記錄與分派審查結果派,並提供安全問題說明與修復建議,依實際開發之程式碼作為安全問題說明,以提高可讀性,加速使用者問題了解及修復。
5.Fortify靜態安全檢測業界領先
權威機構Gartner組織針對業界知名的靜態應用程式安全檢測工具研究報告指出,Fortify 產品不論在工具完整度的願景(Completeness of Vision) 以及工具的執行力(Ability to Execute) 皆展現優秀能力,為世界領導品牌。
SCA分析程序
- Fortify SCA分析的程序是將其分成幾個步驟,程序的第一步,透過SCA的轉檔方式轉為SCA的核心引擎可分析的中繼檔,此步驟檢查程式碼中可能無法編譯的錯誤並可將多種程式語言開發的應用系統整合成統一掃瞄的專案。
- 當SCA轉換程式碼完成後,程序會進行第二步,將轉換完成的檔案通過SCA核心引擎與安全規則的分析與檢測,檢測應用程式中是否有安全問題。若工具發現某些問題集,執行者必須查看這些問題並找出會造成安全性風險的子集,且根據其出現在程式碼中的追踪流程、可能造成的安全漏洞結果進行歸類。
- 最後,稽核人員會將這些已經過審查並排列優先順序的問題來建立報告,指出在稽核過程中發現的問題。
目前國內網站遭駭客入侵傷害的嚴重程度,以駭客直接進入網站後台盜取會員資料庫損害程度最大。而且網站遭駭客入侵時,網站並不會有明顯「症狀」,管理者亦多無法察覺。
SCA 安全漏洞檢測方法
1. IDE-Plug-In
程式設計人員只需點選視窗工具列之相關功能,就能夠在開發環境中立即檢測是否有程式碼缺陷並適時修復,方便程式設計師自我執行應用程式資安控管。
2. AWB (Audit WorkBench)
AWB軟體工具提供檢測、分析及報表的功能,使稽核人員確實掌握程式安全性和修改程度,AWB之分析報表包含安全弱點嚴重等級、弱點發生位置、弱點說明及相關修正建議等。
3. 命令列
主要情境在設定自動排程,其目的在於固定的時間獲得期間之安全漏洞分析,以定期追蹤與監控程式碼品質。
SCA效益
- 程式碼安全弱點檢測自動化,節省大量人力
- 將問題依嚴重等級分類,優先修復嚴重的弱點
- 直指有問題程式列並提供問題說明及修復建議
- 提供程式碼安全驗證的數據化報表,為程式安全把關
- 協助檢核委外廠商交付的軟體元件與程式碼是否齊全
SSC (Software Security Center)
SSC應用系統安全檢測數位儀表管理中心為企業等級Web平台,可供軟體開發、安全稽核人員透過協同工作模組,進行線上程式碼協同審查、提出審查意見、產生各類安全報表,並可針對靜態及動態程式碼檢測結果進行關連交互分析,依照不同的專案結果進行安全問題與稽核分析,可清楚監控各專案的安全現況。
SSC 軟體安全管理中心特點
1. 整合各開發專案之安全現況
借助SSC,各種安全和開發團隊可以共同合作,快速修復、跟踪、驗證和管理安全漏洞問題,並且團隊間之開發品質透過圖表能夠清楚地分析比較。此外,SSC也整合了整合開發環境(IDEs),品質保證(QA)工具和bug追蹤系統。
2. 主動式軟體安全管理
SSC之系統工具能夠自動化幫助應用程式在任何生命週期中,提供最佳安全政策及開發方法。同時,它也可以記錄所有軟體系統的安全活動,協助培養整個組織的安全意識文化。
SSC 效益
- 降低程式開發與整治成本,並符合法規。
- 藉由自動化的安全管理程序提高資安生產力。
- 確保產品不會因為安全相關因素而延遲上市時間。