源代码安全审计研究

源代码是软件的根本,其存在的安全缺陷是导致软件出现漏洞的根源所在,人为因素的影响使得每个应用程序的源代码都可能存在安全漏洞。从根本意义上来说,代码审计就是挖掘源代码中存在的代码安全问题。本文对源代码安全问题进行分析,阐述了源代码审计方法和流程,通过研究JavaWeb漏洞产生的原因及源代码表现形式,给出了源代码安全编码原则,总结出消除相应漏洞的安全编码规范。

银行代码安全审计工作探索与实践

本文分析了银行代码安全审计工作现状和存在问题,论述了在应对此类问题方面的探索和实践,将代码安全审计活动作为信息安全管理体系中的关键节点,并融入到基于CMMI3的研发流程体系中进行落地实施。在保证代码安全审计工作效果方面,介绍并展示了代码漏洞管理平台的功能,阐述了代码安全编码规范制定过程和漏洞分类方法。文章最后分析了代码安全审计工作的意义和实施效果,并进行了工作展望。

Web应用安全测试方案研究

为解决应用程序复杂且关联密切,开发过程中缺失安全测试阶段及安全意识不足导致的实现安全越来越困难的问题,本文提出将测试前置,引入安全需求评审及代码安全审计等方法以提升开发质量,在测试过程中将自动化扫描与渗透性测试相结合,并在发布阶段引入配置核查扫描的整体测试方案。通过测试数据表明,本文提出的测试方案极大提升了安全需求分析质量,降低了系统严重的漏洞风险。