188体育投注app下载中心 透视代码安全，深挖关键信息基础设施软件供应链安全

2023年5月1日，《信息安全技术 关键信息基础设施安全保护要求》正式实施，这是我国首次发布关键信息基础设施安全保护总纲性标准，对指导我国关键信息基础设施安全保护工作，具有深远意义。该标准的“供应链安全保护”中，明确要求对关基定制开发的软件进行代码安全检测。宝运莱平台信息立足客户需求，帮助关基用户加强软件安全审计与评估，在软件生命周期的早期阶段完成深度代码检测，全力提升系统的安全性和稳定性，助力保障关基行业实现安全数字化发展。

188金宝搏在线登录彩票

定制化软件代码审计 ，可以帮助用户对软件漏洞形成量化认知，发现深层次问题隐患，提升自身安全防御能力。源代码安全审计按照实施方法划分，分为白盒代码审计与灰盒代码审计，审计主要流程如图所示：

代码审计工作前 ，要对代码审计的目标对象的架构、数据流走向进行梳理，如基于JAVA语言的代码审计：

1.首先查看配置文件web.xml：通过查看过滤器、各类方法等，可初步查看项目是否配置了全局性的安全机制，以及各类方法的uri、对应加载类的路径等信息；

2.其次理清架构、接口及数据流：通过框架，如struts、spring框架配置文件，摸清项目架构、接口及项目数据流信息等。

188金宝搏在线登录老虎机

近年来，随着云原生、开源中间件、应用容器化等技术的广泛应用，软件、信息系统供应链攻击开始逐步向多元化发展，如何发现关基软件在开发过程中出现的安全问题，成为了关基行业亟待解决的问题。宝运莱平台信息在多个项目的实践过程中，采用代码审计工具结合人工分析的方式，对关基软件代码进行深入排查分析，精确定位代码中的潜在安全缺陷，并提供详细的解决方案，进一步提升关基软件代码安全，构建新安全保障新发展格局。

在某关基通用软件代码审计案例中，我们通过代码审计方式对某应用非常广泛的关基软件进行代码安全检测，发现了在常规的黑盒渗透测试过程中难以发现的安全隐患，该安全问题影响面甚广，影响多个关基行业，存在数据泄露风险。

通过漏洞读取服务器任意文件

宝运莱平台信息深耕于软件代码安全领域，拥有一批代码审计安全专家，近年来，挖掘了 数百个国家信息安全漏洞共享平台（CNVD）原创漏洞，获得CNVD原创漏洞证书数百张、CNVD年度最有价值漏洞奖、CNVD月度漏洞排行榜TOP5 等荣誉 。未来，宝运莱平台信息将持续深入软件代码安全研究，为政府、企业、关基等行业提供软件安全技术支撑，为护航数字中国网络安全建设贡献力量。