免費(fèi)php代碼審計(jì)規(guī)范點(diǎn)擊了解更多「多面魔方」

什么場(chǎng)景下需要做代碼安全審計(jì)

1、合規(guī)驅(qū)動(dòng)

新等?！白孕熊浖_(kāi)發(fā)”及“外包軟件開(kāi)發(fā)”中均有對(duì)代碼安全的要求；

2、軟件研發(fā)自身的安全隱患

普通軟件開(kāi)發(fā)公司的缺陷密度為4～40個(gè)缺陷；

高水平的軟件公司的缺陷密度為2～4個(gè)缺陷；

美國(guó)NASA的軟件缺陷密度可達(dá)到0.1個(gè)缺陷；

3、安全事件

源代碼缺陷導(dǎo)致的安全事件，例如sql注入、跨站攻擊等，導(dǎo)致信息泄露、脫庫(kù)、提權(quán)等。

代碼安全審計(jì)的對(duì)象和內(nèi)容

      源代碼安全檢測(cè)主要對(duì)象包括并不限于對(duì)Windows和Linux系統(tǒng)環(huán)境下的語(yǔ)言進(jìn)行審核，例如C、C 、OC、C#、Java、PHP、JSP、ASPX、Javascript、Python、Cobol、Go等進(jìn)行安全審計(jì)測(cè)試。

源代碼安全檢測(cè)的主要內(nèi)容包括但不限于：

1、WEB應(yīng)用框架安全性；

2、WEB應(yīng)用程序的權(quán)限架構(gòu)；

3、WEB應(yīng)用通信安全；

4、數(shù)據(jù)庫(kù)的配置規(guī)范；

5、OWASP WEB 前10漏洞；

5、SQL語(yǔ)句的編寫(xiě)規(guī)范

代碼安全審計(jì)需要做什么準(zhǔn)備工作

      在代碼審計(jì)前期準(zhǔn)備階段，項(xiàng)目組將根據(jù)業(yè)務(wù)系統(tǒng)的實(shí)際情況定制訪談材料，采用文檔審核和訪談方式對(duì)業(yè)務(wù)軟件功能、架構(gòu)、運(yùn)行環(huán)境和編程語(yǔ)言等實(shí)際情況進(jìn)行調(diào)研。了解業(yè)務(wù)系統(tǒng)的開(kāi)發(fā)環(huán)境、架構(gòu)、安全現(xiàn)狀以及運(yùn)行環(huán)境等可能對(duì)業(yè)務(wù)系統(tǒng)安全性產(chǎn)生影響的各種因素。同時(shí)會(huì)準(zhǔn)備代碼審計(jì)工具、務(wù)系統(tǒng)測(cè)試系統(tǒng)等環(huán)境，為代碼審查工作的開(kāi)展提供必要條件。

自動(dòng)化代碼審計(jì)工具的優(yōu)缺點(diǎn)

優(yōu)點(diǎn):

? 檢測(cè)容易出現(xiàn)的漏洞和數(shù)百個(gè)其他漏洞，包括SQL注入和跨站點(diǎn)腳本

? 在敏捷和持續(xù)集成環(huán)境中，快速和大量代碼測(cè)試的能力是至關(guān)重要的

? 能夠按需調(diào)度和運(yùn)行

? 能夠添加包括業(yè)務(wù)邏輯在內(nèi)的非安全性檢查

? 能夠根據(jù)組織的需要擴(kuò)展自動(dòng)化測(cè)試

? 根據(jù)工具的選擇，可以根據(jù)組織的需要，特別是特定的合規(guī)性規(guī)范和值的應(yīng)用程序，定制自動(dòng)化的源代碼評(píng)審工具

? 可以幫助提高開(kāi)發(fā)人員的安全意識(shí)，并提供一種更好地培訓(xùn)使用該工具的開(kāi)發(fā)人員的方法

缺點(diǎn)：

? 不允許進(jìn)行微調(diào)和自定義的工具可能會(huì)產(chǎn)生誤報(bào)和誤報(bào)

? 覆蓋范圍和廣度實(shí)際上取決于你選擇的工具以及它所涵蓋的語(yǔ)言、框架和標(biāo)準(zhǔn)

? 為那些不熟悉靜態(tài)代碼檢查器的人提供了一個(gè)學(xué)習(xí)曲線(xiàn)

? 盡管有強(qiáng)大的通用開(kāi)發(fā)語(yǔ)言自動(dòng)審查開(kāi)源工具，但它們并不總是符合預(yù)算計(jì)劃的