源代码安全测试不再是新鲜话题,在很多的企业已经开展了相关工作,对于已经开展此项目工作的企业来说,有个问题则是“源代码安全测试工作中所面临的最大阻力是什么?” 这个问题不同的企业可能有不同的答案,且各有各的道理。其实跟据总结来看,很多的阻力表象最终都可以归结为“开发人员不注重”上。
一、测试范围杂乱
对于安全,我们都知道一个道理,没有绝对的安全只有相对的安全。在很多企业中,源代码安全测试的范围和标准都是由测试部门一手“包办”的。这样就导致开发人员总是感觉“测试人员能查到什么就让我们改什么!”等等这样的感受。好像怎样做都无法满足安全上的要求。进而产生不愿意配合漏洞的测试和修复工作,甚至是 “对抗”的情绪。久而久之,源代码安全测试工作就很难再推动下去。
二、测试结果失准
无论是安全性测试还是其他类型的测试,所有的测试人员都希望测试出来的问题即全面又准确。同时在安全测试的概念中,漏报的后果比误报严重,所以大多数产品厂商会选择“宁可错报,不可漏报”的设计原则,被不科学的当成了“裁判”,并且测试结果在没有专业安全审计的前提下就直接递交到开发人员手中,导致开发人员面对这些误报的漏洞信息时,充满了抱怨。
三、测试时间不及时
大多数企业把源代码安全测试放到软件验收阶段中进行测试,直接导致漏洞积少成多,出现大量漏洞信息。而做过软件开发的人都知道,即便是自己写的代码,如果隔上一两个月的时间,想再看明白为什么这么编写都比较困难。如果隔上一年半载,加之别人写的代码,那维护起来就难上加难了。那么在源代码安全测试中,我们应该做到安全测试快速响应的理念,要尽量在代码开发的过程中就完成安全测试,这样修复起来也更加容易。
中科天齐是中科院计算技术研究所软件安全领域的产业化平台。在中科院计算所的大力支持下,自主研发的悟空(Wukong)软件源代码静态检测分析工具,能够为客户在软件开发过程中查找、识别、追踪绝大部分主流编码中的技术漏洞和逻辑漏洞,帮助用户提升抵御网络攻击、防止数据泄露等安全问题的能力。
Wukong(悟空)软件源代码漏洞检测安全智能诊断工具支持C/C++、Java、Python、JS、HTML、PHP等多种主流编程语言进行安全漏洞/缺陷的检测,其检测“深度”更深、“速度”更快、“精度”更准、“范围”更广,且弥补了SAST类工具无法支持国产操作系统和国产芯片的不足,支持Ubuntu、CentOS主流Linux环境部署;支持中标麒麟、银河麒麟等国产操作系统部署;支持高并发用户的分布式部署。
软件安全 网络安全的最后一道防线
中科天齐公司是在中科院计算技术研究所的大力推动下
以中科院计算所国际领先的自主研究成果
为基础组建的高新技术企业
关键词标签:代码检测 静态分析 软件安全测试 软件漏洞检测 代码静态检测
免责声明:本站某些文章、信息、图片、软件等来源于互联网,由本网整理发表,希望传递更多信息和学习之目的,并不意味赞同起观点或证实其内容的真实性以及非法用途。 如设计、版权等问题,请立即联系管理员,我们会给予更改或删除相关文章,保证您的权利。
评论