当前位置:首页 >> 演讲嘉宾
孙虎

演讲主题:

代码安全审计在信息化安全体系中的作用

嘉宾简介:

有着20年的软件项目开发、测试、管理经验,其中从事多年代码安全审计工作的咨询与实施以及诸多软件开发企业的过程改进的咨询工作,曾参与了多家国企(如某航空公司)、金融机构(某股份制银行)以及政府办公窗口单位的代码安全审计实施工作。

在实施代码审计的过程中,能够仔细观察体验客户单位的研发管理流程,通过与客户的深入的探讨,找出研发管理流程中的短板,通过行之有效的过程改进,促使客户在研发管理上有效的提升管理措施与水平,进而提高产品的整体质量。

演讲简介:

随着应用软件的发展,功能越来越强,随之而来的程序代码规模也越来越大.在这种情况下,软件本身可以被利用的安全漏洞以及代码的后门也不再像以往仅限于代码调试或功能检测以及跟踪,这就使利用传统软件测试的方法来检测程序源代码中有无存在安全漏洞非常困难。所以从源代码层面进行审计的角度,对源代码进行有效的检查与分析,从而从根本上保护了软件和信息系统以及信息的安全,也杜绝了潜在的漏洞安全威胁。

在这种情况下我们提出了新的代码安全审计实施思想,在执行代码审计的过程中首先我们需要知道我们要对什么进行审计,审计的标准是什么,如何进行审计或者说采用什么方法来开展审计工作以及审计之后如何进行处理等各种问题就摆上了我们的桌面。在这期间,遵循安全开发生命周期(SDLC)理论,厘定何为安全开发,安全开发的重点等工作内容。

审计工作的进行有人工审计和自动化审计,人工的代码安全审计速度慢,质量无法保证,在此基础上,引入不同的自动化代码审计工具,针对不同代码审计工具进行侧重点和优劣点的分析,为大家拨开层层迷雾,寻找适合自己的审计工具或工具组合。

审计工作进行的细越好,但是审计工作也不是事无巨细的一概审之或者一概补之。在日常进行的代码审计中往往存在一定的误区,在这里,为大家列出经常遇到的问题。

审计工作完成后,我们需要从审计结果中要总结出什么?修复应该如何操作?或者说我们的开发管理工作流程需要做如何整改?哪些地方整改能够有效提高我们的产品质量?而以上这一切,均有待于我们的不懈努力去发现总结,去纠正完善,路漫漫其修远兮,吾将上下而求索。