苍穹云-安全

应用测评渗透

（包括教育、网站、办公、安全、财务、报表、统计等领域，水利、教育、医疗、电力、航空、电讯、石油、农业、林业、公安等多行业）软件产品及产品方案进行各种类型（包括确认、系统、验收、回归等）的测评和论证。

渗透是等级保护最重要的一项。

安全风险评估

依据《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》（国信办[2006]5号）、GB/T 20984-2007 《信息安全风险评估规范》等标准规范，进行信息系统安全保障能力级的符合性测评。风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性，资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度。

现场评估实施结束后，评估小组根据测评指导书各个评估项的结果记录进行评估分析，汇总评估结果，并进行整体评估分析，从而形成合理、可信任的评估结论，最后完成评估报告的编制及建议。

在软件编码之前，利用苍穹软件测评丰富的安全测试经验，为系统开发人员提供安全编码规范、规则的咨询和建议，提前避免不安全的编码方式，提高源代码自身的安全性。针对系统开发过程中的编码阶段、测试阶段、交付验收阶段、对各阶段系统源代码进行安全审计检测，利用数据流分析引擎、语义分析引擎、控制流分析引擎等技术，采用专业的源代码安全审计工具对源代码安全问题进行分析和检测并验证，从而对源代码安全漏洞进行定级，给出安全漏洞分析报告等，帮助软件开发的管理人员统计和分析当前阶段软件安全的风险、趋势，跟踪和定位软件安全漏洞，提供软件安全质量方面的真实状态信息。　依据源代码安全测评结果，对源代码安全漏洞进行人工审计，并依据安全漏洞问题给出相应修改建议，协助系统开发人员对源代码进行修改。

一站式等保

检测漏洞

根据不同开发语言检测出不同开发语言中常见错误，比如：c/c++中的空指针释放、内存管理问题(如内存泄漏) 、数组越界、未初始化数据使用、编码风格等问题；java语言中效率错误(如:空的finalize方法)、可维护性问题(如:空的catch从句)、可靠性问题(如资源泄漏)等。

支持语言

　　支持主流语言：Java、JSP、JavaSript、VBSript、C#、ASP.net、VB.Net、VB6、C/C++、ASP、PHP、Python、Swift、Ruby、Perl、PL/SQL、Android、OWASP ESAPI、MISRA、Objective-C(iOS)、API及第三方语言。

支持框架

　　支持的主流框架（Framework）：Struts、Spring、Ibatis、GWT、Hiberante、EnterpriseLibraries、 Telerik、ComponentArt、Infragistics、FarPoint、Ibatis.NET、Hibernate.Net [*]、MFC。可针对客户特定框架快速定制支持。