適用對象:
全院同仁、
院本部同仁、各所資訊室同仁、圖書館員、訪客
說 明:
原始碼檢測,又稱白箱測試、靜態測試,在不需要執行程式碼的情況下,針對原始碼的內容進行分析,透過對於已知弱點特性的比對,指出有安全問題的程式碼的位置,協助開發人員進行修補,例如編譯器即為原始碼檢測的應用之一。
藉由原始碼檢測工具的使用,可以自動化原始碼驗證技術,以找出所有可能被惡意使用者利用的漏洞,經由對原始碼進行各種分析,可掌握一個程式的所有行為,並可找出經由網路介面輸入資料後的所有可能的反應,這樣就可分辨出程式中的哪些功能變數有安全上的問題,以及它們可能被利用的方式。只要找出並瞭解漏洞所在,應用軟體的開發人員就可輕鬆的加以修補。此外,使用原始碼檢測工具負責程式碼的安全,可省下傳統品保及安全方法所須成本的大部份,同時還能更深入、準確及前置的確保安全性。
目前本處所使用的原始碼檢測工具為Checkmarx,Java, C# / .NET, PHP, C, C++, Visual Basic 6.0, VB.NET, Javascript, ASP等。
Checkmarx源碼檢測(Source Code Analysis),專門為識別、追蹤和修復軟體原始碼技術上和邏輯方面的安全漏洞而設計。可檢測程式安全弱點,且支援多種系統平臺、程式語言和開發框架。融入軟體開發生命週期(Software Development Life Cycle, SDLC) 的CxSuite程式碼自動化檢測機制,使開發人員以最少的時間和成本,解決原始碼安全之問題。
申請方式:
請填寫本處電子服務台之服務洽詢單。
掃瞄流程:
- 掃瞄檢測前,本處承辦人通知洽詢單位掃瞄作業之時程及相關配合事項。
- 掃瞄完畢後,本處提供漏洞資訊、修改建議及諮詢服務。