CodeSecure 是内建语法剖析功能无需依赖编译环境的静态源码检测与验证平台,更是全球同时具备Web 2.0网页操作与整合式开发环境双接口的源码检测平台,高级主管与信息安全顾问可借此软件轻松地完成静态源码检测验证网站应用系统的安全性,开发团队可主动地侦测有问题的程序码并追踪衍生的相关片段,提早解决问题,是目前市面上更佳成本效益的Web应用程序安全解决方案。
自动化源码检测的必要性 现在软件开发过程之中,通常将安全是为后端的需求,几乎都是在开发之后才经由其它的评估、替代与变更程序,像是弱点评估(Vulnerability Assessment)与渗透测试(Penetration Testing),在系统已经完成开发之际才花时间去找出问题和侦测弱点。这是一项成本极高而效益很低的工作,误判率偏高且鲜有能指出真正的问题所在。CodeSecure?则提供在源码开发阶段中,以先进的自动化源码检测与验证科技,直接在源头解决安全问题的低成本高效益方案。
CodeSecure 提供快速、有效而且准确的源码检测功能 CodeSecure 基于第三代静态源码检验科技,在检测网站应用系统源码上,提供给企业一个准确及有效率的方式。在开发阶段,以非侵入式的方式检测源码,明确地指出有问题的源码位置及建议修补方式。在网站应用系统开发生命周期(SDLC)的开发阶段提早发现弱点的根源,远比系统布署之后再来面对安全议题来得更省时与省力。CodeSecure是基于屡获国际大奖的静态检测技术,具有易于安装、设定及管理的功能特色,是目前市场上更先进、有效、更完整的源码检测解决方案。
CodeSecure 如何运作? CodeSecure 是采用第三代静态源码分析引擎的网站应用系统源码检测解决方案,以行为分析方式,不需特征值或攻击模式,直接扫描原始程序码,整理出一个完整的程序与函数的列表,经过内建的分析器(parser)与转换功能,于内部的记忆体即时地”执行”程序,有效地评估程序员导致的安全问题。通行为分析与验证模式,可以系统化地分析出每一行程序代码的弱点,以及面对用户各种输入错误的可能,会产生出哪些衍生问题。尤其是针对目前流行的网站攻击手法,更可以有效地预防类似攻击手法所造成的威胁,包含:资料流的漏洞、跨网站脚本攻击Cross Site Scripting (XSS)、注入式弱点Injection Flaws (SQL, File, Command, XPATH, Reflection)、档案引用(Inclusion)以及导致资料泄漏的弱点,例如编写在程序源码中的明文密码。
CodeSecure 易于安装使用 CodeSecure 可以轻易整合各种专案版本控制系统,在程序方法中融入安全的程序设计观念,让应用系统开发团队在做中学,体验安全实践安全。通过网页接口,专案经理、开发人员或安全控制人员可以透过以下五步骤完成安全程序设计之实践。
CodeSecure 管理特色 - CSO、CISO、CIO与信息安全审计人员,只需安装 CodeSecure 解决方案,就可以确实扼要地检查企业源码检测与验证结果
- IT 部门与方案布署团队,可花较少安装、布署、与维护的成本
- 高级管理人员可获得从执行管理层级的报告,检查专案进度、效益分析及团队工作效能
- 信息安全与开发团队可以从技术报告中发现安全问题根源与更佳化的弱点矫正建议
- 专案经理、程序员与安全设计师,可以快速地通过网页浏览器查看个性化的报表,持续评估政策落实、安全意识与训练效果
支持的开发环境 - Eclipse-based IDE
- Visual Studio
- CodeSecure Standalone IDE
支持的开发程序语言 - PHP
- J2EE (Java, JSP)
- ASP
- .NET