Compuware於2005年推出DevPartner SecurityChecker,針對ASP.NET程式提供安全漏洞分析工具。SecurityChecker整合於Visual Studio整合開發環境中,目前已支援到Visual Studio 2005版。提供ASP.NET及ASP.NET 2.0程式在開發、測試及上線之前三階段的程式安全性漏洞分析,避免因為開發者錯誤的程式寫法,而造成駭客入侵Web應用程式的機會。

三階段的安全漏洞分析
SecurityChecker整合在Visual Studio開發環境,系統開發階段,在ASP.NET程式編譯過,確認無邏輯上的錯誤後,即可利用SecurityChecker「編譯期分析」功能,地毯式掃瞄原始程式碼或已編譯為MSIL(Microsoft Intermediate Language)的中介碼,抓出明顯的錯誤寫法。系統測試階段,搭配「執行期分析」,可選擇手動設定測試的路徑,或由SecurityChecker自動分析所有的網頁路徑,列出網站完整的網頁串連架構,並顯示所有可能的安全漏洞。

最後在應用程式上線前,執行動態的「完整性分析」,實際模擬駭客的攻擊行為,使用者同樣可以選擇手動設定,SecurityChecker將記錄使用者瀏覽及依正常行為操作過的網頁,在關閉瀏覽器後,開始模擬駭客的各式攻擊行為,然後產出分析報表。

直指有安全疑慮的程式,並提供修改範例
SecurityChecker以圖形化的報表,顯示應用程式安全性漏洞分析結果,依關鍵、重要、適中及一般訊息等四個安全層級,分類顯示各層級安全性漏洞的數量。

使用者依影響性檢視各層級的安全性漏洞,再依漏洞類型點選程式碼位置,SecurityChecker直接開啟網頁帶出問題程式碼,說明錯誤原因及解決的範例程式碼,開發人員只要依建議修改程式,有些甚至直接置換成範例程式即可。

大型網站的分析相當耗時,開發人員可設定批次作業,以Windows作業系統本身提供的「工作排程」功能,選擇利用下班後的時間,呼叫SecurityChecker執行網站的安全性漏洞分析。SecurityChecker產生的報表,儲存於Visual Studio的.NET專案中,開發人員上班後調閱報表,即可善用工作時間解決問題。

駭客攻擊網站的手法不斷推陳出新,所以安全漏洞分析工具必須像掃毒程式一般,有更新病毒碼的需要。目前SecurityChecker內有392條安全性守則(Rule),一年更新兩次,購買SecurityChecker享有一年保固,未來只要續簽保固合約,即可免費下載更新守則,以確保防堵日益翻新的駭客行為。文⊙李延華



DevPartner SecurityChecker

建議售價:廠商未提供

Compuware

www.compuware.com

叡揚資訊代理

(02)2586-7890

www.gss.com.tw

處理器需求 Pentium III 850MHz以上
記憶體需求 512MB以上(建議1GB)
硬碟需求 400MB
作業系統需求 Windows 2000/XP/2003
.NET開發工具 Visual Studio 2003/2005
支援程式語言 C#、VB.NET

熱門新聞

Advertisement