案例详情
  • 国家信息技术安全研究中心案例
    2015年11月项目组与国家信息技术安全研究中心签署了移动应用源代码静态安全检测工具采购合同。
案例详情

实施工作:
    国家信息技术安全研究中心(以下简称“中心”),是经中央编制委员会批准组建的从事信息安全核心技术研究、为国家信息安全保障服务的科研单位。
    中心成立于2005年,主要承担信息技术产品/系统的安全性分析与研究;承担国家基础信息网络和重要信息系统的信息安全保障任务;研发具有自主知识产权的信息安全技术。中心履行国家信息安全保障和科研攻关双重职能。
    中心设有总体技术研究、系统安全检测、网络渗透检测、产品安全检测、在线监测、可控技术研究、产品研发、信息安全发展研究、上海基地等业务实体和密码安全分析、硬件解剖分析联合实验室。
    2015年11月项目组与国家信息技术安全研究中心签署了移动应用源代码静态安全检测工具采购合同。
    1、 在该单位实施移动应用源码安全审查工具,用于基于C语言开发的服务端应用、Android应用、IOS应用、Windows Phone应用的安全检测。
    2、 检测范围覆盖CWE中所有与移动应用相关的缺陷类型。包括:词法缺陷、语法缺陷、语义缺陷和可维护性缺陷等。同时也覆盖OWASP中的各类漏洞。包括:堆溢出漏洞、栈溢出漏洞、命令注入漏洞、SQL注入漏洞、本地拒绝服务漏洞、远程拒绝服务漏洞、DNS欺骗等常见漏洞。
    3、 对缺陷产生的全路径进行分析及追踪,自动进行缺陷的定位,并对函数、变量进行同步查看。
    4、 检测效率:检测一百万行源码的时间在60分钟以内,并将误、漏报率都控制在20%以下。
    5、 根据用户的定制输出需要,自动生成完整详实的检测报告。

客户受益:
    1、 通过实施移动应用源码安全审查工具项目,已发现了300多类应用的高危的漏洞,发现其最脆弱的环节,使得应用变得更加安全、可靠。
    2、 早期的检测全部为人工代码走查,除了效率低,还存在误漏报高的问题。通过实施该项目,使得每百万行代码的检测效率提高了80%,误漏报率降低到了15%左右。
    3、 通过对软件源代码安全的研究以及本项目的实施,中心可以更好的满足国家对信息安全测评工作的要求,对信息安全项目进行科学、全面、有效的风险评估。
    4、 COBOT的使用不仅使得中心更出色的完成评测任务,也提高了整个中心的信息安全检测水平。随着项目进一步的深入开展,必然有利于国家信息安全内部形成规范化的软件安全测试标准,规避国家信息安全风险。
    5、 通过实施本项目,COBOT得到了国家信息技术安全研究中心技术人员及管理人员的一直好评。