透視代碼安全，深挖關鍵信息基礎設施軟件供應鏈安全

2023年5月1日，《信息安全技術 關鍵信息基礎設施安全保護要求》正式實施，這是我(wǒ)(wǒ)國首次發布關鍵信息基礎設施安全保護總綱性标準，對指導我(wǒ)(wǒ)國關鍵信息基礎設施安全保護工(gōng)作，具有深遠意義。該标準的“供應鏈安全保護”中(zhōng)，明确要求對關基定制開(kāi)發的軟件進行代碼安全檢測。海峽信息立足客戶需求，幫助關基用戶加強軟件安全審計與評估，在軟件生(shēng)命周期的早期階段完成深度代碼檢測，全力提升系統的安全性和穩定性，助力保障關基行業實現安全數字化發展。

      源代碼審計助力數字化業務安全交付

定制化軟件代碼審計，可以幫助用戶對軟件漏洞形成量化認知(zhī)，發現深層次問題隐患，提升自身安全防禦能力。源代碼安全審計按照實施方法劃分(fēn)，分(fēn)爲白(bái)盒代碼審計與灰盒代碼審計，審計主要流程如圖所示：

代碼審計工(gōng)作前，要對代碼審計的目标對象的架構、數據流走向進行梳理，如基于JAVA語言的代碼審計：

1.首先查看配置文件web.xml：通過查看過濾器、各類方法等，可初步查看項目是否配置了全局性的安全機制，以及各類方法的uri、對應加載類的路徑等信息；

2.其次理清架構、接口及數據流：通過框架，如struts、spring框架配置文件，摸清項目架構、接口及項目數據流信息等。

       以軟件代碼安全護航關基數字化建設

近年來，随着雲原生(shēng)、開(kāi)源中(zhōng)間件、應用容器化等技術的廣泛應用，軟件、信息系統供應鏈攻擊開(kāi)始逐步向多元化發展，如何發現關基軟件在開(kāi)發過程中(zhōng)出現的安全問題，成爲了關基行業亟待解決的問題。海峽信息在多個項目的實踐過程中(zhōng)，采用代碼審計工(gōng)具結合人工(gōng)分(fēn)析的方式，對關基軟件代碼進行深入排查分(fēn)析，精确定位代碼中(zhōng)的潛在安全缺陷，并提供詳細的解決方案，進一(yī)步提升關基軟件代碼安全，構建新安全保障新發展格局。

在某關基通用軟件代碼審計案例中(zhōng)，我(wǒ)(wǒ)們通過代碼審計方式對某應用非常廣泛的關基軟件進行代碼安全檢測，發現了在常規的黑盒滲透測試過程中(zhōng)難以發現的安全隐患，該安全問題影響面甚廣，影響多個關基行業，存在數據洩露風險。

通過漏洞讀取服務器任意文件

海峽信息深耕于軟件代碼安全領域，擁有一(yī)批代碼審計安全專家，近年來，挖掘了數百個國家信息安全漏洞共享平台（CNVD）原創漏洞，獲得CNVD原創漏洞證書(shū)數百張、CNVD年度最有價值漏洞獎、CNVD月度漏洞排行榜TOP5等榮譽。未來，海峽信息将持續深入軟件代碼安全研究，爲政府、企業、關基等行業提供軟件安全技術支撐，爲護航數字中(zhōng)國網絡安全建設貢獻力量。