产品导航 Products Index
- Ytria scanEZ
- Ytria aclEZ
- Ytria agantEZ
- Ytria signEZ
- Ytria viewEZ
- Ytria actionBarEZ
- Ytria designPropEZ
·办公自动化
- Frasca飞行训练设备
- Quantum3D视景系统
- 迅腾系列视景工作站
- Anark系列实时三维软件
- Terrex三维地形建模
- Presagis Creator建模软件
- OpenGVS 视景管理软件
- Vega 视景管理软件
·模拟仿真
- 沉浸式投影系统
- 科视投影仪
- 几何变形矫正和边缘融合
·专业显示系统
产品介绍 Products
我公司是美国Armorize公司CodeSecure™在中国区的代理,如果想进一步了解我们的产品,请浏览 http://www.armorize.com 或直接与我们公司联系(联系电话:68008670 、68008671)。
阿码( Armorize Technologies )简介
基于多年的研究及得奖的技术,美国阿码科技( Armorize Technologies ) 推出全球最先进的软件安全解决方案,专注于Web应用软件的安全。阿码科技的原始码分析产品CodeSecure™使用专利的软件验证技术以在软件开发阶段就能辨识出网络程序代码的漏洞,利用一个功能强大且自动化的原始码分析工具,及整合的安全开发环境,CodeSecure™将安全的考量整合入软件开发流程中。CodeSecure™使用自动静态分析技术,使得程序员及CIO们得以在原始码的层级进行扫描、侦测、及修改网络漏洞。因为在软件开发阶段就进行安全检测,所以CodeSecure™不但提升安全性,还能节省时间,增进效率且降低成本。
CodeSecure 的特点:
源码验证 -- 使用自动静态分析(ASA)原始码验证以辨识并找出漏洞
执行自动化静态扫描时,被扫描程序不须要处于可执行状态,所以在软件开发的早期就可考虑到安全的问题,这样可节省很多的时间及成本。因为它直接验证原始码,所以能更有效的找出漏洞,例如XSS及SQL Injection,并可提供改正建议。验证的程序是完全自动的,所以在SDLC的各阶段可反复的排定扫描,让我们可以开发出更好、更强、更安全的网络应用软件。最后,CodeSecure带有内建的编辑器,使得它的规划与执行是完全独立于所处系统之外。
全面的安全性
Armorize CodeSecure™ 提供 双重安全保障 对开发人员端与整合服务器端都提供安全保障,即使细琐的安全瑕疵也会被发现及改正。在程序开发行业中有一句有名的谚语“在速度、功能、与安全之中,只能挑两个”。但是Armorize现在改变此一现象,我们的产品可使应用软件的功能多、开发时间短,且安全性自在其中!
范围深入
Armorize CodeSecure™ 使得软件工程师可进行跨维度分析 Cross-dimension Analysis 以加速检查过程并扩大涵盖范围,以精密的交叉参考定出漏洞所在。正如同开发人员要不断的检查程序一般,我们帮助他们建立快速的开发方式,以持续提升软件的完整性。
经济的修正成本
聪明改正 Smart Remediation 的功能会针对辨识出的漏洞,向开发人员提出修补建议并指出须修改的程序代码。这使得我们的客户可以集中心力于产品的开发,无须再为了安全事项而不断的反复浪费时间与资源
为何需要Armorize CodeSecure™?
目前的软件开发实务上,倾向于将安全看做是一种末端事项,也就是在软件开发完后再处理,要不是试着减缓攻击就是修改程序以图补救执行错误。这些方法已经证明是缺乏效率、太昂贵、及太花时间。其原因为,采用目前的做法,如漏洞评估、透入测试及程序检查,通常a)忽略了大量的漏洞,b)须要人为检查以找出漏洞,c)成本太高,及d)成功率相对较低。Armorize以其专利的、先进的原始码验证技术,要转移此一典范,要直接在软件开发阶段引入安全性。
与透入测试以及其它以暴力攻击应用软件的方式不同,原始码验证直接定出漏洞所在,改进编码能力,误侦率低,且在验证程序中不会产生任何可能损害程序的副作用。此外,Armorize 的CodeSecure具有人工检查程序代码的所有好处,但却是以自动的方式在软件开发阶段进行,CodeSecure™可节省大量的时间及金钱。同时CodeSecure™也比漏洞评估(VA)更有效率,那是只能针对既有且普遍使用的软件检查已知的漏洞,它不能用于特制或自制软件。最后,CodeSecure™可以回溯每个漏洞,并可看到由漏洞的出现到最后结果的每一步,所以它使得开发人员能够更了解这些漏洞并加以改正。
Armorize CodeSecure™如何作用?
CodeSecure™使用最新的验证技术以分析原始码。这些程序构成程序的完整图像,描述其功能并有系统的检查漏洞。然后追踪这些漏洞并检查其严重程度、深度、及范围,这使得CodeSecure™成为现今最先进、最有效、及最完整的方法。
· 来源选取:原始码验证由选择要分析的程序开始。此程序代码可以是以档案或资料夹形式存在中央链接库中。当加载到CodeSecure时,它就可进行扫描与分析。
· 进入点分析:流程的第一步是决定程序的进入点。之后就可以排定优先级,开始映像程序,决定那些组件是任意的并起动漏洞回溯及扫描。
· 分析程序:然后开始分析程序代码,依文法解读文字,这提供了程序的整体描述以供进一步分析之用。
· 程序路径分析:程序经初步分析后,程序路径分析可决定程序的功用。这描述了程序的范畴,它做甚么以及如何做 -- 一份路线图。这同时也是程序间分析与信息流分析的基础。
· 程序间分析:接着由程序间分析建立起程序各功能组件间的互动关系。经由分析何种信息会流入程序的那一部份,可以对程序做风险分析,以决定那一部份较易出问题。
· 信息流分析:信息流分析是最后一项分析,信息流决定了受污染的信息会流经程序的那些部份,并在那结束。这样就能明确定出漏洞所在,并能沿信息流回溯问题所经之处。
解决方案
从根源铲除漏洞 -- 使用自动化原始码验证技术,以找出所有可能被恶意使用者利用的漏洞。
CodeSecure™ Verifier :
Plug-in. Scan. Secure!
CodeSecure™ Verifier 是一个非常简单易用的原始码验证组件,它是一个事先包装好的硬件组件,只要将它放入公司服务器的机架,插上电源与网络,开发人员即可使用。
CodeSecure™ Verifier是一个网络接口的原始码验证工具,可供全公司使用,具有多使用者、多项目共享的能力。我们所在意的不仅是改善安全性,而是要以易懂、易用的方式,使开发人员花在安全议题上的时间最少。基于此一原因,我们采用网页接口的模式,项目经理与团队成员只要经由网页浏览器即可使用此工具。合理的下一步就是将此技术用于一个组件上。为甚么每次出问题,我们就要耗费数周的时间辛苦的去重做安装与规划的工作?预先规划的CodeSecure™ Verifier验证组件,让开发人员及安全团队无须再和安装、规划、整合等事情奋战。
CodeSecure™ Verifier具有的诸多优点
- 可量测性最高。在网络上安装了Verifier之后,每个开发人员、每一团队、以至整个组织都可经由 网页浏览器获得同一解决方案。
- 最大资源效益。CodeSecure™ Verifier只须要插入服务器,它有自己的运算能力,无须 其它额外的软、硬件。
- 低维修成本。所有的维修、规划、及更新都已直接执行及安装入服务器。
- 最佳兼容性。CodeSecure™ Verifier是一个完全自足的组件,避免了与硬件或操作系统兼容的问 题。同时它也不须要任何第三方软件,例如JVM/JRE (Java Runtime Environment)。
- 可靠度最高。CodeSecure™ Verifier是一个强固且可靠的组件。具有工业级的硬件及设计,可确保 运算能力及公司数据的安全。
CodeSecure™ Verifier包含CodeSecure™ Enterprise和 CodeSecure™ Workbench模块
CodeSecure™ Enterprise模块:
Enterprise利用Armorize的原始码验证技术,以提供CodeSecure整合安全编码环境(Integrated Secure Development Environment,ISDE)的核心。经由与版本控制系统的整合,Enterprise以执行定期扫描,并产生一个可以被整合进报告机制的角色接口。由于有内建的分析器及转换器,CodeSecure™ Enterprise无须和开发环境整合在一起。此外,Enterprise 可以做到深入的使用者追踪、每日定时扫描、进度报告、项目概要、执行总结、以角色为基础的接口、自动电邮报告、以及个人化的设定与规划。
在最上层, 让CEO、CIO、CSIO及开发经理们能够设立政策、评估性能、并且持续的监看开发人员及项目的进度。团队成员也可以实时方式使用Enterprise并执行扫描,或是以排程方式扫描。可以由不同的位置上传原始码,并可分别以项目、数据夹、或档案的层次进行扫描。此外,因为它可经由网页浏览器随处使用,所以Enterprise可供全组织的使用。因为能够极快速的扫描原始码,Enterprise可以协助工程师以最少的时间找出并改正错误。事实上,因为 CodeSecure™ Enterprise 可以提出改正建议及漏洞回溯,所以可缩短开发人员用于改正问题的时间。
此外,CodeSecure™ Enterprise 是以网络应用的型式销售,让各个开发人员、稽核员、或项目经理都能了解各别程序的漏洞,支持PHP、JSP、及ASP*等网络程序语言的分析,保留过去分析的记录,提供详细的漏洞清单-附带有大量的关于漏洞及堆栈的的后数据,以帮助了解经辨识之漏洞的风险,并包含修补建议,以向开发人员指出造成该漏洞的程序代码及建议。
CodeSecure™ Enterprise 据有以下特性:
- 内容广泛的报告: 提供带有统计数据 的执行状况报告,列出实际程序代码,以及漏洞描述、被使用的场景、严重程度、和程序代码范例。
- 以角色为基础的显示板 : 个人化的显示屏,显示安全缺 失及程序错误,并有排序及过滤功能。
- 客制化的遵循政策 : 可支持多组扫描规划,包括知名的分 类(例如OWASP)以及使用者定义的组合,以强化全组织的编码做法与准则。
- 精细的衡量 : 确保开发团队能持续改进程序的撰写,包 括漏洞的分布、是否违背政策、及程序品质。
CodeSecure™ Workbench 模块:
Workbench是CodeSecure™完整的原始码验证方案中的改正工具(Windows 2000及XP操作系 统)。它提供一个IDE环境,配备有档案选单以利上载原始码,还有漏洞报告、回溯窗口,以帮 助了解错误的传递,以及一个规划框。Workbench的所有功能都和它的程序编辑器整合在一 起,对于经辨识的漏洞可以很快的加以确认及改正。
每一个开发人员都可以用 Workbench IDE 以改正Enterprise所辨识出的漏洞, 可以用Workbench以 快速扫描修改过的程序以验正是否已改正完成。
CodeSecure™ Workbench拥有以下特点:
- 语法及错误码反白以利快速简便导航。
- 档案扫描以实时验证修改之处。
- 快速且可升级的评估功能使用parser技术以分析数以百万行计 的程序代码.
- 多种来源选择使得开发人员可由本机档案系统、远程(普通或zip 檔)、SAMBA、FTP服务器、及CVS版控制档案库输入原始码。
- 一个漏洞知识库其中保存了经分类且详细的漏洞信息。
- 规划精灵 经由事先设定的使用者指引以快速并简单的提供使 用者相关经验。
经由对原始码进行各种分析,我们特有的算法可掌握一个程序的所有行为,并可找出经由网络接口输入数据后的所有可能的反应。这样我们就可分辨出程序中的哪些功能变量有问题,以及它们可能被利用的方式。只要找出并了解漏洞所在,应用软件的开发人员就可轻松的加以修补。
使用CodeSecure™ 做开发工具以负责程序代码的安全,可省下传统品保及安全方法所须成本的大部份。使用静态原始码分析的主要好处之一就是降低成本,同时还能更深入、准确、及前置的确保安全性。经由在报告中加入修正建议,工程师可以在开发程序时,实时的辨认并移除漏洞。阿码科技的静态原始码验证引擎再加上整合安全编码环境(ISDE),造成了网络应用软件安全做法的典范转移。站在此一新典范的最前缘的正是CodeSecure™。