Mantua Services

服务的方法论

数壳科技拥有的人员、流程和技术,可以超越简单的漏洞扫描,并提供深入的安全分析。这种方法既可以灵活地满足每个客户的范围和技术,也可以采用分步格式进行可重复的结构化评估。

代码安全审查

安全代码审查和静态分析的需求

安全代码审查 (SCR) 和静态应用程序安全测试 (SAST) 是任何软件开发生命周期 (SDLC) 中必不可少的安全接触点,用于识别和修复漏洞。如果未通过 SCR 和 SAST 技术更早地检测到并解决安全漏洞,则修复这些漏洞的成本将呈指数级增长。


安全代码审查 (SCR)

NetSPI 专家手动审查源代码,以识别自动扫描程序无法检测到的漏洞。使用NetSPI的安全代码审查方法,我们审查了用于构建应用程序的底层框架和库,并根据应用程序拼接在一起的方式识别任何已知的漏洞。

复杂的注入攻击、使用弱加密或不适当的加密技术、不安全的错误处理、身份验证和授权问题都是安全漏洞的常见示例,最好使用手动技术进行检测。NetSPI还提供安全的代码审查分析,仅报告OWASP Top 10

支持的语言包括Java,.Net,SQL,JavaScript Frameworks,C / C++,PHP和Python。

安全编码和修复培训

在完成任何 NetSPI 安全代码审查 (SCR) 或静态应用程序安全测试 (SAST) 参与后,您可以使用此服务。

对于多达 20 名虚拟或面对面的学员,我们的专家将提供为期一天的培训课程,重点关注您在参与过程中发现的五大类 Web 应用程序漏洞。该课程将详细讨论每类漏洞,查看最近评估中的特定代码示例,并讨论补救和缓解技术。



静态应用程序安全测试 (SAST)

我们使用商业、开源和专有静态代码分析工具的组合来执行静态分析。应用程序安全专家手动审查和分类所有高中漏洞,并消除误报。

为组织提供 SAST 报告,其中包括易于理解的漏洞描述、漏洞位置和可操作的补救指南。NetSPI还提供了SAST分析,仅报告OWASP Top 10

支持的语言包括Java,.Net(C#,ASP,VB),JavaScript Frameworks(Node,React JS,AngularJS),C / C++,PHP,Perl,Python,SQL,Ruby,Android(Java),iOS(Objective-C和Swift)和Go。

静态应用程序安全测试 (SAST) – 分类

我们的 SAST 分类服务提供支持,以增强您的应用程序安全计划,并在将结果提供给您的开发团队之前删除任何误报结果。

SAST 会审使您的开发团队能够专注于需要关注和修复的问题,而不是花时间验证漏洞的可利用性。组织还可以访问我们的专家安全顾问,他们可以与适当的利益相关者讨论补救技术和策略。

支持的SAST工具包括Checkmarx(CxSAST),Veracode Static Analysis,Fortify on Demand(FOD)/Fortify Static Code Analyzer(SCA),AppScan Source,Coverity Static Application Security Testing(SAST),SonarQube,FindBugs和Microsoft Code Analysis Tool .NET(CAT.NET)。

为什么选择我们?


  • 丰富的跨语言/框架(包括 Web 应用程序、胖客户端、移动 (Android/iOS)、Web 服务应用程序)对 500 多个应用程序进行 3350000 多行源代码的代码安全审查经验

  • 模拟对手的实际攻击工具,技术和流程的全面测试

  • 在BFSI,制造,医疗保健,信息技术,物流,政府,零售,电信等行业进行代码审查方面拥有丰富的经验

  • 训练有素、经验丰富的代码审查员,为每位客户提供定制化的体验

  • 全面的报告,帮助我们的客户深入了解代码缺陷及其相应的业务影响(以商业语言)

  • 我们的客户受益于我们团队与开发团队的密切协调,以协助了解缺陷,目的是使用安全编码实践修复漏洞的根本原因

我们的覆盖范围


为多个平台和各种编程语言和框架提供全面的代码安全审查服务,例如:

  • 语言:Java, JSP, JavaScript, VBScript, PLSQL, HTML5, C#, VB.NET, ASP.NET, VBScript, ASP, VBScript, VB6, C/C++, PHP, Ruby, ES5, ES6, Typescript, Perl, Android (Java), Objective C Swift, Python, Groovy, Scala, GO Language

  • 框架: Struts, Spring MVC, Spring Dependency Injection, iBatis, GWT , Hibernate, OWASP ESAPI, JSTL FMT Taglib, ATG DSP Taglib, Java Server Faces (JSF), JSP, Google Guice, PrimeFaces, Telerik, ComponentArt, Infragistics, Hibernate.Net, Entity framework, ASP.Net MVC framework, ASP.Net CORE Razor, ASP.NET Core, Zend, Kohana, CakePHP, Symfony, Smarty, bWapp, Ruby on Rails, JQuery, Node.js, Ajax, Knockout, AngularJS, ExpressJS, Pug (Jade), Handlebars, Cordova/PhoneGap, happy.JS, XS (SAP), Backbone, Kony Visualizer, ReactJS, SAPUI5, Volley(Android), Django, Akka, Protobuf.


我们的方法


我们的代码安全审查服务的总体方法流程如下:

  • 应用程序环境理解(包括编码和部署详细信息)

  • 详细的应用程序业务了解以及关键工作流程

  • 执行自动源代码审查(如果自动化工具未涵盖语言,则执行手动代码审查)

  • 手动验证/分析以消除可能的误报

  • 与开发团队讨论和定稿

  • 发布报告

我们的基准


我们的综合代码安全审查符合以下众所周知的全球代码安全评估准则,例如:

  • OWASP 安全编码指南

  • 米斯拉 C, SEI 证书 C

  • MISRA C++、JSF AV C++ 编码标准、SEI CERT C++ 编码标准

  • Secure Coding Guidelines for Java SE (Oracle)

  • .NET 的安全编码指南 (Microsoft)

  • SANS 前 25 个最危险的软件错误

  • 以及用于评估应用程序代码安全性的其他行业标准基准测试。

在代码审查中发现的一些漏洞示例包括以下内容(下面给出的示例):

  • 注入攻击(SQL 注入、代码注入、命令注入、LDAP 注入、Xpath 注入)

  • 不安全的会话管理

  • 不安全的 Cookie 属性

  • 密码和其他敏感信息的不安全传输

  • 私人知识产权披露

  • 内部路径披露

  • XML 外部实体攻击 (XXE)

  • 不安全的反序列化

  • 不安全的直接对象引用

  • 竞态条件

  • 溢出

  • 字符集转换问题

  • 逻辑错误

  • 错误的假设

  • 加密密钥管理缺陷

  • 敏感数据泄露

  • 使用已弃用/禁止的函数调用

  • 资源注入

  • 硬编码密码

  • 连接字符串中的密码

  • 环境注入

  • 环境操作

  • 本地数据库中的密码存储

  • 根/越狱检测

  • 重新包装检测

  • 挂钩框架检测

  • 调试器保护

  • 安卓模拟器检测

  • 设备屏幕镜像保护



数据合规创造业务价值

给我们一个开始了解需求的机会,共同来保护贵司的业务。

上海数壳信息科技有限公司
Shanghai Digital Shell Information Technology Co., Ltd
上海・・・北京・・・深圳・・・成都

电子邮件
mkt@dpoit.com

首页
关于我们
联系我们

信任和隐私论坛

Copyright © 2025   上海数壳信息科技有限公司       All Rights Reserved.