奇安信代码卫士携手中软国际解放号,联合打造软件安全开发在线服务
字数 1105 2025-08-18 11:39:15

奇安信代码卫士与中软国际解放号联合软件安全开发服务教学文档

一、合作背景与概述

  1. 合作双方

    • 奇安信代码卫士:中国最大网络安全公司之一的产品,专注于源代码安全分析
    • 中软国际解放号:软件生态云平台

  2. 合作内容

    • 将代码安全检测服务整合到解放号平台的在线开发服务中
    • 后续将推进联合解决方案及线上线下运营合作

  3. 服务目标

    • 帮助开发者精准定位源代码中的安全漏洞、性能缺陷和代码质量问题
    • 提升软件代码安全质量

二、服务核心功能

1. 技术原理

  • 静态应用程序安全测试(SAST)
    • 采用代码全自动静态分析技术
    • 分析技术包括:
      • 程序语法特征提取
      • 规则检查
      • 类型推导
      • 数据流分析
      • 符号执行
      • 内存精确建模
      • 控制流分析

2. 检测能力

  • 标准兼容

    • CWE
    • OWASP TOP10
    • CWE/SANS TOP 25

  • 检测范围

    • 19个大类1300个子类的缺陷检测
    • 包括:
      • 缓冲区溢出
      • 代码注入
      • 跨站脚本
      • 输入验证
      • API误用
      • 密码管理
      • 配置错误
      • 危险函数等

  • 语言支持

    • 当前支持:Java、PHP
    • 即将支持:Python、SQL、C#、COBOL、C++、Swift、Objective-C等

三、典型应用场景

  1. 项目验收阶段

    • 甲方审查乙方交付代码是否符合安全需求
    • 高效扫描安全缺陷
    • 要求修复并复查直至关键问题解决

  2. 开发过程

    • 持续扫描每日开发成果
    • 避免安全缺陷积累形成技术债务
    • 提前发现问题降低修复成本

  3. 其他关注代码安全的场景

    • 提高代码质量检查效率
    • 提升源代码整体安全性

四、代码漏洞的危害性

  1. 常见漏洞类型及后果

    • SQL注入漏洞:数据泄漏、数据库被删除
    • 跨站攻击漏洞:用户隐私泄漏、资金损失
    • 拒绝访问漏洞:服务器宕机
    • 访问控制缺陷:系统数据被抓取或恶意删除

  2. 人工审查的局限性

    • 安全专业人士稀缺
    • 代码量大易出现遗漏

五、使用流程

  1. 体验流程

    • 进入代码库
    • 发起检查
    • 开始检查
    • 短信确认
    • 查看检查结果

  2. 获取服务

    • 电脑端登录解放号平台
    • 免费体验:100,000行代码检测额度
    • 免费额度用完后可享8折优惠购买商业服务

六、教学建议

  1. 实践指导

    • 建议开发者将扫描服务集成到CI/CD流程中
    • 建立定期扫描机制,而非仅在项目结束时扫描
    • 对扫描结果进行分类处理,优先解决高危漏洞

  2. 团队培训

    • 组织团队学习常见漏洞类型及其防范措施
    • 培养安全编码意识
    • 建立代码安全审查流程

  3. 资源利用

    • 充分利用免费额度进行初期安全评估
    • 根据项目规模合理规划商业服务采购

七、相关资源

奇安信代码卫士与中软国际解放号联合软件安全开发服务教学文档 一、合作背景与概述 合作双方 : 奇安信代码卫士 :中国最大网络安全公司之一的产品,专注于源代码安全分析 中软国际解放号 :软件生态云平台 合作内容 : 将代码安全检测服务整合到解放号平台的在线开发服务中 后续将推进联合解决方案及线上线下运营合作 服务目标 : 帮助开发者精准定位源代码中的安全漏洞、性能缺陷和代码质量问题 提升软件代码安全质量 二、服务核心功能 1. 技术原理 静态应用程序安全测试(SAST) : 采用代码全自动静态分析技术 分析技术包括: 程序语法特征提取 规则检查 类型推导 数据流分析 符号执行 内存精确建模 控制流分析 2. 检测能力 标准兼容 : CWE OWASP TOP10 CWE/SANS TOP 25 检测范围 : 19个大类1300个子类的缺陷检测 包括: 缓冲区溢出 代码注入 跨站脚本 输入验证 API误用 密码管理 配置错误 危险函数等 语言支持 : 当前支持:Java、PHP 即将支持:Python、SQL、C#、COBOL、C++、Swift、Objective-C等 三、典型应用场景 项目验收阶段 : 甲方审查乙方交付代码是否符合安全需求 高效扫描安全缺陷 要求修复并复查直至关键问题解决 开发过程 : 持续扫描每日开发成果 避免安全缺陷积累形成技术债务 提前发现问题降低修复成本 其他关注代码安全的场景 : 提高代码质量检查效率 提升源代码整体安全性 四、代码漏洞的危害性 常见漏洞类型及后果 : SQL注入漏洞:数据泄漏、数据库被删除 跨站攻击漏洞:用户隐私泄漏、资金损失 拒绝访问漏洞:服务器宕机 访问控制缺陷:系统数据被抓取或恶意删除 人工审查的局限性 : 安全专业人士稀缺 代码量大易出现遗漏 五、使用流程 体验流程 : 进入代码库 发起检查 开始检查 短信确认 查看检查结果 获取服务 : 电脑端登录解放号平台 免费体验:100,000行代码检测额度 免费额度用完后可享8折优惠购买商业服务 六、教学建议 实践指导 : 建议开发者将扫描服务集成到CI/CD流程中 建立定期扫描机制,而非仅在项目结束时扫描 对扫描结果进行分类处理,优先解决高危漏洞 团队培训 : 组织团队学习常见漏洞类型及其防范措施 培养安全编码意识 建立代码安全审查流程 资源利用 : 充分利用免费额度进行初期安全评估 根据项目规模合理规划商业服务采购 七、相关资源 活动链接: https://www.jfh.com/qax.html 参考标准:CWE、OWASP TOP10、CWE/SANS TOP 25