S-SDLC安全咨询方案为国外SDL的落地,并对其进行技术创新和本土化配置,以满足我国各类软件企业的安全软件开发需求。本方案产业化可以增强企业的软件安全防御能力,且是对国家有关法令法规与政策的实践。引导和帮助各类企业应用本项目的研究成果,一方面可以通过S-SDLC管理平台持续监控整个企业所有软件项目的安全风险状况,降低企业的安全风险,提高企业的软件安全,减少企业在软件安全方面的损失;另一方面,S-SDLC管理平台不仅仅做到对安全开发流程进行管理,而且可以根据客户所选择的行业、开发技术、合规性要求给出建议性的设计规范与技术参考,使企业能够缩短安全技术积累的时间。

实现安全开发流程管理

企业在执行安全软件生命周期时面临的最大挑战是不知道每个阶段的具体任务该如何完成,安全软件开发生命周期(S-SDLC)管理平台帮助用户定义每个阶段的活动,并且提供详细的解决方案,实现安全开发流程管理。其优点包括:

(1)使安全软件开发生命周期(S-SDLC)管理平台融合整个软件开发生命周期内的所有安全活动、安全知识库、漏洞库、攻击案例库。

(2)管理平台中集成的安全测试工具克服传统白盒工具高误报率、费人力的缺点。

(3)可与企业现有开发流程相融合,简单快速实现安全需求风险、安全设计、威胁建模、安全漏洞查找、安全测试的过程。

(4)可集中化管理整个企业的软件安全风险状况,简化安全与开发人员的工作。

1. 实现交互式应用程序安全测试(IAST)技术

交互式应用程序安全测试技术(IAST技术),英文为Interactive Application Security Test,是系统安全测试引擎工作的核心技术。IAST技术将会实现自动获取应用程序上下文的数据,并把这些信息同时提供给静态和动态工具,从而快速而又精确地查找出漏洞。

IAST技术在应用程序内部执行。当程序运行时,能够持续地监视与查找漏洞;面向方面的编程技术使得安全测试系统可以在程序运行时嵌入安全分析,分析内容包括提取上下文内容、数据流和控制流,访问程序运行时传递的值,通过这些有价值的信息,安全测试系统可以达到其它工具所不能企及的精确度。

2.  实现实时应用程序自我防护(RASP)技术

实时应用程序自我防护(RASP)技术,英文为 Runtime Application Self-Protection,是一种新型应用安全保护技术。RASP技术将保护程序像疫苗一样注入到应用程序,并与应用程序融为一体,能实时检测和阻断安全攻击,使应用程序具备自我保护能力,当应用程序遇到特定漏洞和攻击时不需要人工干预就可以进行自动重新配置应对新的攻击。这意味着,RASP 运行在程序执行期间,使程序能够自我监控和识别有害的输入和行为。

RASP技术能够让应用程序具备自我保护能力,且拥有实时性。因为拥有应用程序的上下文,它不仅可以分析应用程序的行为也可以结合上下文对行为进行分析,而且这些能持续不断的进行分析,一旦发现有攻击行为能立刻进行响应和处理。