網站應用程式源碼檢測服務以檢視原始程式碼的方式,尋找並指出網站應用程式中潛藏的安全性弱點,並透過專業顧問分析其弱點種類、攻擊路徑等資訊,促使應用程式開發人員可以正確快速的修改程式弱點,強化網站應用程式之防護能力,避免遭受SQL Injection、Corss-Site Scripting等攻擊。
網站應用程式源碼檢測服務不需花費龐大預算購買任何檢測工具或產品,適合擁有網站應用服務但本身無應用程式開發人員的單位,或者網站應用系統較少且不常有需求變更的單位。透過本服務以較少的預算,完成網站應用系統之安全檢測。
服務說明
本項服務運用「HP Fortify SCA 源碼檢測」工具,提供修補前後兩次的安全檢測,並配合專業資安顧問協助分析源碼檢測結果,並針對所發現之安全弱點提供改善建議。透過專業資安顧問的協助,可以讓程式開發人員或委外廠商瞭解網站應用程式攻擊手法及弱點原理,並根據弱點掃描報告分析其風險及嚴重性,更進一步依網站應用程式開發語言提供程式撰寫之「錯誤樣態」與「修補方式」,可有效降低網站應用程式修補的障礙與認知差距,提升弱點修補的有效性。
服務效益
採用本服務的效益可包含下列:
- 不必投資高額的預算購買源碼檢測工具,以較低及有效益的投資提升網站應用程式安全強度。
- 資安專業顧問的協助,可有效降低網站應用程式修補的障礙與認知差距,提升弱點修補的有效性。
- 專業的報告分析,避免自動化檢測工具的誤判與錯誤的解讀。
- 強調弱點修補的成效,而不只是提供源碼檢測結果。
- 協助分析應用程式開發人員/廠商自訂安全過濾函數的有效性。
服務流程
 |
| 圖 1 網站應用程式源碼檢測服務流程 |
| 1. | 檢測標的與範圍確認 |
| 檢測標的與範圍確認工作的主要目的是,確保網站應用程式所有相關源始碼都納入檢測範圍,並移除不必要的程式碼,以確保檢測標的內容的完整性及正確性。 | |
| 2. | 第一次檢測作業 |
| 由資安工程師攜帶源碼檢測工具到府協助進行源碼檢測,並立即產出源碼檢測報告。第一次檢測時將會以「最嚴謹」的檢測規則及「最完整」的檢測項目進行源碼檢測,以確保網站應用程式可能的安全風險可以被檢測出來。 | |
| 3. | 第一次檢測結果分析與改善建議 |
| 由資安顧問依第一次源碼檢測報告進行分析,並依分析結果製作分析報告與改善建議之簡報,由受檢測單位協助召開「網站應用程式源碼檢測結果報告會議」,邀請網站應用程式之開發人員/委外廠商、業務單位主辦及資安單位與會。 | |
| 4. | 應用程式弱點修補問題諮詢 |
| 網站應用程式弱點之修補由應用程式開發人員/委外廠商進行修補,由資安顧問提供弱點修補的諮詢協助,受檢驗單位決定弱點修補之範圍與監督弱點修補之時程。 | |
| 5. | 第二次檢測作業 |
| 由資安工程師攜帶源碼檢測工具到府協助進行弱點修補後之源碼檢測,並立即產出源碼檢測報告。第二次檢測時將會以第一次檢測結果分析及改議建議討論後之決議,設定符合該應用程式之檢測規則及檢測項目。 | |
| 6. | 第二次檢測結果分析與改善建議 |
| 由資安顧問依修補後的第二次源碼檢測報告進行分析,並依分析結果製作分析報告、改善差異分析與改善建議之簡報。 |
HP Fortify 支援最完整的程式語言
目前HP Fortify SCA可以支援超過20種以上的程式語言,包含:
- Microsoft系列:ASP.Net、VB.Net、C#.Net、ASP、VBScript、VB6。
- Apple Mac系列:Objective-C、Action Script。
- Java系列:Java、JSP。
- 其他Web系列:HTML、 JavaScript、PHP、XML、ColdFusion 5.0、Python。
- Database系列:T-SQL(MSSQL DB)、PL/SQL(Oracle DB)。
- 傳統第二代語言:C/C++、COBOL。
- SAP系列:ABAP/BSP。
- 行動APP系列:Objective-C(iPhone)、Java(Android)、C#.Net(WinPhone)
HP Fortify 支援最廣泛的程式碼問題偵測
目前HP Fortify SCA可檢測超過480種的軟體弱點,包含:程式安全與品質類型的偵測規則。例如:
- Input Validation類型:SQL Injection、Cross-Site Scripting、Resource Injection、Open Redirect等。
- Security Features類型:Password Management、Insecure Randomness、Weak Encryption等。
- Error Handling類型:Poor Error Handling等。
- API Abuse類型:Code Correctness、Missing Check againt Null、Dangerous Method等。
- Code Quality類型:Dead Code、Unrelease Resourse等。
- Environment類型:Misconfiguration等。
上述各種類型中已包含OWASP 2007與OWASP 2010等Top 10弱點。
詳細內容可參考:HP Fortify Tanxonmy: Software Security Errors.
交付項目
1.網站應用程式掃描報告(修補前後,共兩份)
2.網站應用程式掃描分析簡報(修補前後,共兩份)
 |
| 圖 2 網站應用程式弱點掃描報告範例 |
 |
| 圖 3 網站應用程式掃描分析簡報範例 |
服務範圍
◆ 程式源碼行數在100萬行以內 (100萬行以上另行洽談)