15360494010
簡(jiǎn)要描述:軟件源代碼安全檢測(cè)測(cè)評(píng)服務(wù):廣電計(jì)量可為客戶提供代碼安全審計(jì)服務(wù),信息安全團(tuán)隊(duì)采用分析工具和專業(yè)人工審查,審計(jì)時(shí)會(huì)從輸入驗(yàn)證、身份認(rèn)證、授權(quán)管理、會(huì)話管理、安全加密、錯(cuò)誤處理、日志記錄等多個(gè)方面對(duì)代碼中的安全問(wèn)題及安全編碼規(guī)范問(wèn)題進(jìn)行審計(jì),查缺補(bǔ)漏、優(yōu)化質(zhì)量,極大提高應(yīng)用系統(tǒng)的安全系數(shù),從根本上解決系統(tǒng)可能存在的漏洞、后門等安全問(wèn)題。
產(chǎn)品分類
Product Category相關(guān)文章
Related Articles詳細(xì)介紹
品牌 | 廣電計(jì)量 |
---|
服務(wù)范圍
軟件源代碼安全檢測(cè)測(cè)評(píng)服務(wù):源代碼審計(jì)服務(wù)的范圍包括使用ASP、ASPNET(VB/C#)、JSP(JAVA)、PHP等主流語(yǔ)言開發(fā)的B/S應(yīng)用系統(tǒng)、使用C++、JAVA、C#、VB等主流語(yǔ)言開發(fā)的C/S應(yīng)用系統(tǒng),以及使用XML語(yǔ)言編寫的文件、SQL語(yǔ)言和數(shù)據(jù)庫(kù)存儲(chǔ)過(guò)程等。
服務(wù)依據(jù)
軟件源代碼安全檢測(cè)測(cè)評(píng)服務(wù):
GB/T 39412-2020《信息安全技術(shù) 代碼安全審計(jì)規(guī)范》
GB/T 34943-2017《C/C++語(yǔ)言源代碼漏洞測(cè)試規(guī)范》
GB/T 34944-2017《Java語(yǔ)言源代碼漏洞測(cè)試規(guī)范》
GB/T 34946-2017《C#語(yǔ)言源代碼漏洞測(cè)試規(guī)范》
服務(wù)流程
服務(wù)內(nèi)容
序號(hào) | 測(cè)試項(xiàng) | 測(cè)試說(shuō)明 |
1 | 系統(tǒng)所用開源框架 | 包含java反序列化漏洞,導(dǎo)致遠(yuǎn)程代碼執(zhí)行。Spring、Struts2的相關(guān)安全。 |
2 | 應(yīng)用代碼關(guān)注要素 | 日志偽造漏洞,密碼明文存儲(chǔ),資源管理,調(diào)試程序殘留,二次注入,反序列化。 |
3 | API濫用 | 不安全的數(shù)據(jù)庫(kù)調(diào)用、隨機(jī)數(shù)創(chuàng)建、內(nèi)存管理調(diào)用、字符串操作,危險(xiǎn)的系統(tǒng)方法調(diào)用。 |
4 | 源代碼設(shè)計(jì) | 不安全的域、方法、類修飾符未使用的外部引用、代碼。 |
5 | 錯(cuò)誤處理不當(dāng) | 程序異常處理、返回值用法、空指針、日志記錄。 |
6 | 直接對(duì)象引用 | 直接引用數(shù)據(jù)庫(kù)中的數(shù)據(jù)、文件系統(tǒng)、內(nèi)存空間。 |
7 | 資源濫用 | 不安全的文件創(chuàng)建/修改/刪除,競(jìng)爭(zhēng)沖突,內(nèi)存泄露。 |
8 | 業(yè)務(wù)邏輯錯(cuò)誤 | 欺騙密碼找回功能,規(guī)避交易限制,越權(quán)缺陷Cookies和session的問(wèn)題。 |
9 | 規(guī)范性權(quán)限配置 | 數(shù)據(jù)庫(kù)配置規(guī)范,Web服務(wù)的權(quán)限配置SQL語(yǔ)句編寫規(guī)范。 |
服務(wù)優(yōu)勢(shì)
具備CNAS、CMA資質(zhì),可出具報(bào)告
具備CCRC風(fēng)險(xiǎn)評(píng)估、安全集成、安全運(yùn)維、應(yīng)急處置服務(wù)資質(zhì),可出具相關(guān)檢測(cè)報(bào)告
具備ISO 27001、ISO 20000、ISO 9001等服務(wù)資質(zhì),管理體系完善
提供“咨詢-檢測(cè)-運(yùn)營(yíng)-培訓(xùn)"一站式信息安全技術(shù)服務(wù)
擁有多名國(guó)際專家,核心團(tuán)隊(duì)來(lái)自于頭部安全公司和檢測(cè)機(jī)構(gòu),具有豐富的行業(yè)資源和技術(shù)能力,具備資深的國(guó)際認(rèn)證咨詢和檢測(cè)
服務(wù)經(jīng)驗(yàn)
主導(dǎo)和參與國(guó)家、行業(yè)、團(tuán)體標(biāo)準(zhǔn)修訂100+項(xiàng),其中信息安全領(lǐng)域15項(xiàng)
提供“標(biāo)準(zhǔn)化+定制化"特色服務(wù)
承擔(dān)通信、電力、軌道交通、汽車、金融、醫(yī)療、能源、政企、軍工等領(lǐng)域大型項(xiàng)目,服務(wù)經(jīng)驗(yàn)豐富
全國(guó)布局五大實(shí)驗(yàn)室,覆蓋全國(guó)提供服務(wù),提供就近就地、快速響應(yīng)的服務(wù)
客戶收益
明確安全隱患點(diǎn)
提高安全開發(fā)意識(shí)
提高應(yīng)用系統(tǒng)自身安全防護(hù)能力
降低軟件缺陷修復(fù)成本
降低源代碼出現(xiàn)的安全漏洞
服務(wù)案例
山東煙草某辦案系統(tǒng)代碼審計(jì)
華棲云某管理系統(tǒng)代碼審計(jì)
鐵路關(guān)鍵信息基礎(chǔ)設(shè)施開源代碼安全維護(hù)與漏洞檢測(cè)技術(shù)研究
國(guó)網(wǎng)某大數(shù)據(jù)服務(wù)系統(tǒng)軟件代碼審計(jì)
產(chǎn)品咨詢
電話
微信掃一掃