安全意识丨别小瞧藏在代码里的漏洞危害

中科天齐软件源代码安全检测中心

共 1080字,需浏览 3分钟

 ·

2021-04-06 16:53

cAhiXrFL0a.jpg

随着互联网+模式在各行各业的快速发展,信息化设越发广泛,快速迭代成为主流的软件开发模式,因此,软件系统从开发到上架的周期越缩越短,而软件的繁杂性却越来越高,这使得软件中隐藏的各类安全风险也随之越来越高,通常情况下难以被发现和消除,导致软件的安全性面临极大挑战。

近年来爆发影响较大的安全事件屡见不鲜,致使各企业的安全意识也得到了较大的提升,都会在软件项目研发中提出安全层面的需求。而安全漏洞问题的本质是代码开发缺陷的问题,百分之九十的安全漏洞都可以定位到源代码开发层面上,例如:

◆ 数据库程序编写不当导致的SQL注入漏洞,使得数据泄漏,乃至数据库被删除的事件时有发生。

◆ 网站程序编写不当导致的跨站攻击漏洞,会导致用户隐私信息泄漏,电商、金融类网站甚至会发生用户损失资金。

◆服务端程序编写不当导致拒绝访问漏洞,被恶意用户攻击会出现内存溢出资源耗尽服务器宕机的情况。

◆ 应用系统访问控制程序编写不当,被攻击者利用抓取全系统的数据,并出现恶意删除系统业务数据的情况。

不可否认人工的代码审查是发现代码安全问题的重要举措,但人工审查很难全面找出安全漏洞,其主要是因为具备审查代码安全问题能力的专业人士较为稀缺,不能保证所有从事代码审查工作的人员都具备足够的专业能力,此外,由于源代码量大,人工检查出现遗漏也是在所难免的。


中科天齐悟空(Wukong)软件静态代码分析工具帮你揪出“元凶”

北京中科天齐信息技术有限公司是以自主研究成果“软件安全智能检测修复平台(Wukong悟空)”为基础,组建的高新技术企业。其提供静态应用程序安全测试(SAST)服务,悟空软件代码检测工具采用代码全自动静态分析技术,通过代码切片分析技术、跨文件、跨函数上下文敏感分析技术、相似代码指纹技术、漏洞信息实时跟踪技术提取程序语法特征,采用规则检查、类型推导、数据流分析、符号执行、内存精确建模、控制流分析等分析技术,根据预先设定的漏洞特征、安全规则等进行缺陷模式匹配,进而检测发现程序源代码中出现的安全问题。

目前悟空静态代码检测分析工具支持C/C++、JAVA、Python、JS、HTML、PHP等主流编码语言,能够为客户在软件开发过程中查找、识别、追踪编码中存在的技术漏洞和逻辑漏洞,帮助用户提升抵御网络攻击、防止数据泄露等安全问题的能力。


中科天齐悟空(Wukong)静态代码检测工具为您的软件安全保驾护航!咨询热线:400-636-0101.


原文链接:https://www.woocoom.com/b021.html?id=42384a8b781c44b281451b6a250bd31a

浏览 46
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报