软件安全的持续过程管控
Parasoft 作为行业中提供以开发方式来驱动产品质量的专业方案供应商领导者,如今已经开始发布软件应用安全方案的下一代最新版本。这些方案致力于帮助客户搭建持续集成管控平台,以便在软件生命周期即SDLC过程中发现、定位和修复安全问题,同时,提高团队关于安全问题解决的高效工作流程效率。Parasoft 的软件安全解决方案可以:
- 帮助团队建立理想的安全政策驱动模式,Parasoft 的软件安全解决方案可以自动监控代码实现中是否遵从了一定的安全政策,是否在软件应用的各个层次应用这些安全政策,是否完全满足产品设定的需求场景,以及持续保障软件应用迭代演化的安全性。
- 帮助团队快速降低安全风险,Parasoft 提供快速适用的安全解决方案,帮助客户快速应用软件市场上的权威安全标准,以发现最典型的安全风险漏洞,常见的安全标准如OWASP Top 10,PCI,CWE,DISA STIG,CERT 等等。
- 帮助团队建立任务机制切实解决项复杂的安全问题,Parasoft提供自动化机制以应用在整个软件生命周期SDLC过程中,从软件应用的内外全方位角度定位潜在的安全风险漏洞。
在上述情况下,Parasoft独有的自动化框架能够帮助客户驱动安全政策的可追踪性和切实落地,并且不会打乱项目团队固有的高效工作流程。
为了加快安全问题得到快速修复,每个发现的安全漏洞会按照优先级排列显示并自动告知团队相应负责人,自动将发现的问题推送到开发人员或测试人员的IDE环境中,并可以直接定位到代码。
另外,Parasoft 的开发测试平台DTP还对整个项目的安全状态和团队进度提供了实时的仪表板,帮助决策者在各个不同的关键域采取何种安全应对措施。
Parasoft 全面的分析技术
如下表所示,系统地阐述了 Parsoft 组成软件安全解决方案的具体技术:
| 功能 | 优点 | |
| 安全政策 | 确保安全需求团队中定义清晰、可见且强制实施。 | 构建软件安全性的开发和测试蓝图。 |
| 静态分析 | 对代码进行基于规则的代码自动化代码扫描,查找安全性漏洞代码并指导用户修复。 | 查找并消除漏洞的诱因,自动化机制大大节省了代码审查的时间,并使开发者能更注重于安全性、功能性和设计等高级分析。 |
| 数据流分析 | 以静态手段模拟程序不同路径下可能执行方式,查找安全风险较高的漏洞,如sql注入、敏感数据泄露、线程问题、内存泄露等。 | 无需运行程序即可利用静态方式查找动态问题,可追踪数据流向,利于追踪溯源查找安全漏洞深层次诱因。 |
| 同行代码审查 | 提升代码走查分析的安全性等级,甚至支持分布式团队和外包开发的代码审查机制。 | 提高发现人工逻辑代码安全缺陷的效率。 |
| 单元测试 | 自动生成测试用例、打桩和执行单元测试,提供代码覆盖率分析技术,验证模块功能和代码逻辑。 | 在整个系统完成前进行底层模块的功能性和安全性验证,降低下游安全性验证的成本。 |
| 运行时监控/分析 | 查找程序在运行时暴露出的安全性漏洞。 | 提早暴露程序在实际环境中可能遇到的安全漏洞,并提供堆栈分析机制定位问题。 |
| 渗透测试 | 验证安全性策略在消息/协议层上正确工作,同时使用“由外而内”的测试发现漏洞。 | 确保应用程序不会被安全性攻击攻破。 |
| 持续回归测试 | 定期执行所有既有测试套件(如日常地执行)并向团队成员告知测试发现的问题。 | 保证应用程序代码迭代更新开发后的安全性和功能一致性。 |
| 可视化报表 | 提供可定制的图形化报表,方便不同角色人员查看问题,追踪问题,及及时介入团队的安全修复进程。 | 方便用户实时查看问题,并持续改进团队工作流程,提供效率,把控团队进程和安全风险。 |
支持的技术
Java / C/C++ / .NET languages (C#, Visual Basic, Managed C++) / SOA / Web services / Web applications / Web 2.0 / RIA / AJAX / SOAP / BPEL / Multiple message protocols / JSP / XML / HTML / JavaScript / WSDL / EJB / CSS / VBScript/ASP
支持的框架/标准/认证
OWASP / PCI / DHS / NIST / SOX / HIPAA / ISO/IEC / Others
支持的软件环境和平台
Eclipse / Rational Application Developer (RAD) / Microsoft Visual Studio Wind River / Borland / IntelliJ / Oracle / BEA / Software AG/webMethods / IBM MQ-Series / TIBCO / Sonic / IONA / HP / Other leading platforms
相关参考
- 关于Parasoft的软件应用安全解决方案可视化报表截图样例
样例报表1
样例报表2
- 相关软件安全标准的资料
- CWE – Common Weakness Enumeration
http://cwe.mitre.org
- OWASP – Open Web Application Security Project
http://www.owasp.org
- PCI – Payment Card Industry Security Standards
https://www.pcisecuritystandards.org
- Hack.me – Community based security learning project
https://hack.me
- SAMATE – Software Assurance Metrics And Tool Evaluation
http://samate.nist.gov
- Build Security In – Collaborative security effort
https://buildsecurityin.us-cert.gov
