軟體安全性服務

標籤：

• .比較常見的安全性漏洞：

1、後門，程式員為了方便自己維護，會留一些後門，但 是容易成為攻擊的漏洞。

2、在原始碼裡會有網站地址遺漏，會被駭客利用，繞過防火牆， 直接攻擊後台。

3、exceptions，我們在寫程式的時候，難免的一些潛在漏洞，也容易成為被攻擊的目標。

 

• 幾種安全性服務方式和特點：

 

軟體安全性服務
	位置
	移動設備	網路/互連網	防火牆	主機
提供的安全性 服務	代碼掃描	攔截移動交流、 模擬動態測試	網路滲透測試	主機滲透實驗
是否可以遠程 遙控	可以，在香港代 碼掃描	不，必須在現場	是的，可以從香 港遠程	不，必須在現 場
效益	最具成本效益

 

•  什麼是代碼掃描：

對移動 APP 來講，保證安全性最有效方法，是對 app 的原始碼進行掃描和審查。

怎麼做呢？客戶提供原始碼，我們用自動化工具掃描，它會給出一個相應的報告，報告的內容都不是全都對的，有時候機器認定的問題並不是問題。由此我們的工程師會對掃描

出來的結果進行辨別：哪些是正確的？

這些做完以後，我們會把缺陷按優先順序進行排列，形成一個報告發給客戶。然後客戶需要與開發人員進行多輪討論：對這個報告中的結果是否認同？

為什麼用代碼比動態測試找出問題更有效果？與我們做平常軟體測試的概念一樣， 從掃 描原始碼中找出問題的深度和廣度，都比動態測試更好。

而用動態測試去測某個 APP 與伺服器的互動，由於很多漏洞藏在 code 裡，它們很隱蔽， 通常到某個時間，某個條件，才會觸動。這個無法用動態測試測出，但是可以很容易用代碼 掃描或評審找出來。

 

l       費用：

代碼掃描，首先會依據客戶代碼的大小、需要經過多少輪來進行人天的估算，費用會根

據這個產生。 掃描碼，依據這個去判斷過濾，分優先順序，做出報告給客戶確認討論，在與開發人員

溝通方面會花費較多的時間（看是否溝通順利）。例如：銀行的客戶，代碼大概是 50  萬行的 規模，我們用 5 到 6 人天的時間，幫他完成這類服務。

如果不方便提供整個原始碼，可以提供關鍵的代碼進行掃描。因為是用掃描器，所以可 以不用全部的代碼。

著作權聲明：本文為博主原創文章，未經博主允許不得轉載。

軟體安全性服務