源碼驗證

使用自動靜態分析(ASA)原始碼驗證以辨識並找出漏洞。

執行自動化靜態掃描時，被掃描程式不須要處於可執行狀態，所以在軟體開發的早期就可考慮到安全的問題，這樣可節省很多的時間及成本。因為它直接驗證原始碼，所以能更有效的找出漏洞，例如XSS及SQL，並可提供改正建議。驗證的程序是完全自動的，所以在SDLC的各階段可反覆的排定掃描，讓我們可以開發出更好、更強、更安全的網路應用軟體。最後，CodeSecure帶有內建的編輯器，使得它的規劃與執行是完全獨立於所處系統之外。

為何需要它？

目前的軟體開發實務上，傾向於將安全看做是一種末端事項，也就是在軟體開發完後再處理，要不是試著減緩攻擊就是修改程序以圖補救執行錯誤。這些方法已經證明是缺乏效率、太昂貴、及太花時間。其原因為，採用目前的做法，如漏洞評估、透入測試及程式檢查，通常a)忽略了大量的漏洞，b)須要人為檢查以找出漏洞，c)成本太高，及d)成功率相對較低。Armorize以其專利的、先進的原始碼驗證技術，要轉移此一典範，要直接在軟體開發階段引入安全性。

與透入測試以及其它以暴力攻擊應用軟體的方式不同，原始碼驗證直接定出漏洞所在，改進編碼能力，誤偵率低，且在驗證程序中不會產生任何可能損害程式的副作用。此外，Armorize 的CodeSecure?具有人工檢查程式碼的所有好處，但卻是以自動的方式在軟體開發階段進行，CodeSecure™可節省大量的時間及金錢。同時CodeSecure™也比漏洞評估(VA)更有效率，那是只能針對既有且普遍使用的軟體檢查已知的漏洞，它不能用於特製或自製軟體。最後，CodeSecure™可以回溯每個漏洞，並可看到由漏洞的出現到最後結果的每一步，所以它使得開發人員能夠更瞭解這些漏洞並加以改正。

它如何作用？

CodeSecure™使用最新的驗證技術以分析原始碼。這些程序構成程式的完整圖像，描述其功能並有系統的檢查漏洞。然後追蹤這些漏洞並檢查其嚴重程度、深度、及範圍，這使得CodeSecure™成為現今最先進、最有效、及最完整的方法。

來源選取：
原始碼驗證由選擇要分析的程式開始。此程式碼可以是以檔案或資料夾形式存在中央程式庫中。當載入到CodeSecure時，它就可進行掃描與分析。
進入點分析：
流程的第一步是決定程式的進入點。之後就可以排定優先順序，開始映射程式，決定那些元件是任意的並起動漏洞回溯及掃描。
分析程序：
然後開始分析程式碼，依文法解讀文字，這提供了程式的整體描述以供進一步分析之用。
程式路徑分析：
程式經初步分析後，程式路徑分析可決定程式的功用。這描述了程式的範疇，它做甚麼以及如何做 -- 一份路線圖。這同時也是程序間分析與資訊流分析的基礎。
程序間分析：
接著由程序間分析建立起程式各功能組件間的互動關係。經由分析何種資訊會流入程式的那一部份，可以對程式做風險分析，以決定那一部份較易出問題。
資訊流分析：
資訊流分析是最後一項分析，資訊流決定了受汙染的資訊會流經程式的那些部份，並在那結束。這樣就能明確定出漏洞所在，並能沿資訊流回溯問題所經之處。

源碼驗證

阿碼優勢