漏洞管理

Dataphin实施了漏洞管理流程,结合使用商业化工具和内部专门构建的工具来扫描软件漏洞,并通过自动和手动渗透工作、质量保证流程、软件安全审查和外部审核来确保软件的安全性。漏洞管理团队负责跟踪和跟进漏洞。确定了需要修复的漏洞之后,便会记录漏洞,并根据严重程度确定优先级,然后为其分配所有者。漏洞管理团队会跟踪此类问题,并经常跟进,直至确认问题已得到修复。

渗透性测试

经Dataphin授权,绿盟科技渗透测试小组对产品进行了渗透性测试,通过各种主流的攻击技术对网络、系统做模拟攻击测试,以发现网络、系统中存在的安全漏洞和风险点。渗透测试流程定义为信息收集、渗透测试、本地信息收集、权限提升、清除和输出报告,从攻击者的角度进行测试以发现并识别出产品隐形存在的安全漏洞和风险点。

经过绿盟的渗透测试,最终Dataphin系统的安全评价为:安全系统。

代码漏洞扫描

Dataphin通过安全团队提供的白盒扫描工具进行产品的安全审核,安全审核包括128个大项,932个小项,已全面覆盖包括CSRF注入、config配置文件泄露、SQL注入、SSRF漏洞、URL跳转漏洞、任意文件读取、命令执行、越权漏洞、反序列化命令执行等漏洞场景。该白盒漏洞扫描针对产品的源代码进行语法、结构、过程、接口等的白盒测试,用以发现应用程序的安全风险。

经过安全团队白盒漏洞扫描,最终Dataphin系统的安全评价为:安全系统。