安全的程式碼，是客戶滿意的起點。

Secure Code on Demand010101010101010101010

1010

1 01010101010101010101010

101 010101010101010101010

1010

1 01010101010101010101010

101

雲端原始碼檢測服務雲端原始碼檢測服務

SCOD所提供的「程式碼線上安全掃描」服務，能協助開發人員以更少的時間精力來了解與解決

安全漏洞，確保程式碼的品質與安全性。 SCOD以全球公認的安全規範「OWASP TOP 10」作為

程式碼的安全漏洞標準，提供全面資訊的分析結果，讓開發人員可整體性的了解與修補問題。

01010101010101010101010

101

01010101010101010101010

101

0101010101011010

1

服務

服務規格支援程式語言

支援平台

開發環境

分析引擎

檢測問題種類

.Net ( C#, ASP.NET, VB.NET , VBScript) , Java/JSP, C/C++,

Classic ASP, VB6, PHP, JavaScript/AJAX, Android, Ruby 等語言

Windows 2003/2008 等平台

Microsoft Visual Studio, Eclipse 等開發環境

支援 Virtual Compiler 無需搭配 Compiler 工具

檢測包括OWASP Top 10等超過 793 類以上的安全以及品質相關問題

相關說明 OWASP TOP. 10

SCOD以OWASP所發布的十大網站應用程式漏洞(OWASP TOP 10)為基本。

OWASP組織致力於網頁應用程式安全性相關文件的研究，此組織所發布的OWASP TOP 10

屢被全球機關列為 Web AP安全規範。

TOP1 - InjectionWeb應用程式執行來自外部包括資料庫在內的惡意指令，如SQL或Command Injection等攻擊。TOP2 - Cross Site Scripting

TOP4 - Insecure Direct Object References

TOP7 - Insecure Cryptographic Storage

攻擊者利用Web應用程式本身的檔案讀取功能任意存取檔案或重要資料，案例包括http://example/read.php?file=../../../../../../../c:\boot.ini。

Web應用程式沒有對敏感性資料使用加密、使用較弱的加密演算法（MD5 / SHA1）或將金鑰儲存於容易被取得之處，使得機密資料容易被駭客破解，造成資料外洩。

Web應用程式直接將來自使用者的執行請求送回瀏覽器執行，使得攻擊者可擷取使用者的Cookie或Session資料而能假冒直接登入為合法使用者。

https://scod.hinet.net/ tel : (02)25867890 e-mail : gss_iss@mail.gss.com.tw

雲端原始碼檢測服務雲端原始碼檢測服務