源代码安全扫描及服务技术方案.ppt

源代码安全扫描及源代码安全扫描及审计服务审计服务————方案报告方案报告 2012 2012 年年 08 08 月月 2 汇报提纲扫描内容 2定价方案 4 服务介绍 33 背景介绍 31 3 项目背景——源代码安全扫描及服务项目随着市场竞争的日益激烈,以及通信与计算机技术的不断发展,业务支持系统的软件规模日益庞大,应用环境日益复杂,新业务需求层出不穷,旧业务不断更新优化;;由***广东分公司牵头针对开发商(目前是针对华为,从兴)的源代码进行质量控制,保证源代码的质量;确保系统稳定, 高效的运行行业现况?项目规模越来越庞大,业务复杂度越来越高?开发团队庞大,个人开发风格,水平不一致,导致开发出来的代码质量高低不一?对行业项目的安全要求越来越高,因此对项目的质量则越高?由此上三大因素,故引入代码扫描控制不利因素,提升质量引入背景背景介绍 4 项目优点优点1 优点1优点2 优点2 源代码扫描是基于专利技术分析引擎开发的软件基础上实施综合应用了多种近年来最先进的静态分析技术是出色的软件静态分析软件是唯一集效率与速度为一身的强大而又精确的企业级源代码分析工具通过该项目开发人员在桌面端快速而准确的定位安全隐患识别错误和软件架构问题;通过项目分析软件研发经理可以直接看到软件代码和架构的安全性和可靠性视图,避免软件研发经理往往需要研读软件代码才能发现软件中的问题的弊端软件安全经理可以在软件开发生命周期中发现、评估、纠正和度量软件安全 5 项目效益?引进代码扫描项目之后当年的项目成本降低 50% 引进代码扫描项目之后项目成本缩减 200000 美金 We had a very tight schedule and without Klocwork Insight, we would have had difficulty meeting our objectives on time. 项目引进代码扫描项目之后项目成员减少 900h/ 人的工作成本““ Justin Thomas, Software Team Lead, Johns Hopkins APL C&C 6 源码扫描在 NGBOSS 的应用? Klocwork 是一个企业级源代码分析工具,支持对 c,c++,java 和 c# 语言的扫描分析;可快速而准确的定位安全隐患、识别错误和软件架构问题,为各大企业节约大量的成本,降低了整个软件过程中的风险成本?在对从兴 NGBOSS 项目引进 klocwork 之后,一共扫描了 12 次,其版本质量明显提升;在以往代码出现的诸如内存溢出,, 指出其在开发中应注意的问题.?引进 Klocwork 后,代码错误减少?十大错误报告 7 汇报提纲扫描内容 2定价方案 4 服务介绍 33 背景介绍 31 8 3. 3. 软件架构分析软件架构分析 2. 4. 4. 软件度量分析软件度量分析 5. 5. 可定制代码分析可定制代码分析 6. 6. 开发人员开发人员 IDE IDE 集成集成 1. 180 类Java 错误、241 类C/C++ 错误、40类C#错误自动生成软件架构图,根据结构和依赖关系给出建议代码行数、循环数、继承数等度量指标缓冲区溢出、 DNS 欺骗、注入缺陷等 15类安全漏洞根据公司特色定制编码标准和扫描策略和Eclipse 、Visual Stdio 、Rational 等集成,效率最高源代源代码码安全安全扫扫描及描及审计项审计项目目?目前使用的源码扫描工具 klocwork 是一款基于专利技术引擎开发的强大的静态代码分析软件,具备 6大功能 9 扫描内容扫描内容 JAVA JAVA 1. ( (如如: :空的空的 finalize finalize 方法方法) ) 2. ( (如:空的如:空的 catch catch 从从句句) ) 3. ( (如如资资源泄漏源泄漏) ) c/c++ c/c++ 1. 2. ( (如如内内存泄漏存泄漏) ) 3. 4. 5. ?下面介绍下缺陷检测中的一些详细信息,支持不同语言的扫描;其中可以检测出 180 种 Java 的错误, 241 种 C++ 错误,下面列举详细缺陷类型,其中每个缺陷类型下包含各类子错误 10 下面对在源代码扫描中的缺陷类型选取几例常见的加以说明缺