您好,歡迎來到易龍商務(wù)網(wǎng)!
發(fā)布時(shí)間:2021-09-07 15:23
【廣告】
什么是代碼審計(jì)?
代碼審計(jì)顧名思義就是檢查源代碼中的安全缺陷,檢查程序源代碼是否存在安全隱患,或者有編碼不規(guī)范的地方,通過自動(dòng)化工具或者人工審查的方式,對(duì)程序源代碼逐條進(jìn)行檢查和分析,發(fā)現(xiàn)這些源代碼缺陷引發(fā)的安全漏洞,并提供代碼修訂措施和建議。
代碼審計(jì)(Code audit)是一種以發(fā)現(xiàn)程序錯(cuò)誤,安全漏洞和違反程序規(guī)范為目標(biāo)的源代碼分析。軟件代碼審計(jì)是對(duì)編程項(xiàng)目中源代碼的分析,旨在發(fā)現(xiàn)錯(cuò)誤,安全漏洞或違反編程約定。 它是防御性編程范例的一個(gè)組成部分,它試圖在軟件發(fā)布之前減少錯(cuò)誤。 C和C 源代碼是常見的審計(jì)代碼,因?yàn)樵S多語(yǔ)言(如Python)具有較少的潛在易受攻擊的功能(例如,不檢查邊界的函數(shù))。
APP代碼審計(jì)檢測(cè)系統(tǒng)架構(gòu)
測(cè)試系統(tǒng)主要分為兩個(gè)模塊,一個(gè)是分析引擎模塊,一個(gè)是測(cè)試管理模塊。不同平臺(tái)上開發(fā)的軟件代碼可以通過中間的分布式調(diào)度方式來完成分發(fā)調(diào)度測(cè)試。如圖所示:
目前可以支持對(duì) JAVA、JSP、 C、C 、PHP、ASP、 C#、Javascript、VBscript、Python、HTML、XML等十幾開發(fā)語(yǔ)言的安全漏洞的檢查,共能夠檢測(cè)出約 1000種漏洞。啟天安全源代碼審計(jì)系統(tǒng)將所有安全漏洞系統(tǒng)地整理并依據(jù)漏洞的表現(xiàn)形式、形成原因和危害程序進(jìn)行科學(xué)地分類,共分為“輸入驗(yàn)證、API 誤用、質(zhì)量性能、異常處理、 代碼規(guī)范、安全控制、環(huán)境配置、信息封裝”8個(gè)大類,然后根據(jù)開發(fā)語(yǔ)言的不同,在結(jié)合國(guó)際漏洞標(biāo)準(zhǔn)組織CWE的漏洞知識(shí)庫(kù)進(jìn)行細(xì)分和命名,目前約1000個(gè)子類。
如何開始源代碼安全審計(jì)?
源代碼安全審計(jì)是依據(jù)CVE(Common Vulnerabilities & Exures)公共漏洞字典表、OWASP Web漏洞,以及設(shè)備、軟件廠商公布的漏洞庫(kù),結(jié)合源代碼掃描工具對(duì)各種程序語(yǔ)言編寫的源代碼進(jìn)行安全審計(jì)。能夠?yàn)榭蛻籼峁┌ò踩幋a規(guī)范咨詢、源代碼安全現(xiàn)狀測(cè)評(píng)、定位源代碼中存在的安全漏洞、分析漏洞風(fēng)險(xiǎn)、給出修改建議等一系列服務(wù)。
服務(wù)內(nèi)容
1.安全編碼規(guī)范及規(guī)則咨詢
在軟件編碼之前,利用豐富的安全測(cè)試經(jīng)驗(yàn),為系統(tǒng)開發(fā)人員提供安全編碼規(guī)范、規(guī)則的咨詢和建議,提前避免不安全的編碼方式,提高源代碼自身的安全性。
2.源代碼安全現(xiàn)狀測(cè)評(píng)
針對(duì)系統(tǒng)開發(fā)過程中的編碼階段、測(cè)試階段、交付驗(yàn)收階段、對(duì)各階段系統(tǒng)源代碼進(jìn)行安全審計(jì)檢測(cè),利用數(shù)據(jù)流分析引擎、語(yǔ)義分析引擎、控制流分析引擎等技術(shù),采用的源代碼安全審計(jì)工具對(duì)源代碼安全問題進(jìn)行分析和檢測(cè)并驗(yàn)證,從而對(duì)源代碼安全漏洞進(jìn)行定級(jí),給出安全漏洞分析報(bào)告等,幫助軟件開發(fā)的管理人員統(tǒng)計(jì)和分析當(dāng)前階段軟件安全的弱點(diǎn)、趨勢(shì),跟蹤和安全漏洞,提供軟件安全質(zhì)量方面的真實(shí)狀態(tài)信息。
3.源代碼整改咨詢
依據(jù)源代碼安全測(cè)評(píng)結(jié)果,對(duì)源代碼安全漏洞進(jìn)行人工審計(jì),并依據(jù)安全漏洞問題給出相應(yīng)修改建議,協(xié)助系統(tǒng)開發(fā)人員對(duì)源代碼進(jìn)行修改。
源代碼安全審計(jì)服務(wù)流程
代碼審計(jì)服務(wù)介紹
全程化服務(wù): 可以為客戶提供約定期限內(nèi)的全程化代碼審計(jì)服務(wù)。不僅會(huì)幫助客戶發(fā)現(xiàn)問題,也會(huì)提供的建議和指導(dǎo),做到發(fā)現(xiàn)問題、修補(bǔ)問題、驗(yàn)證修補(bǔ)的全程化服務(wù)。力求大化保證審計(jì)目標(biāo)的安全。
定制化專屬服務(wù): 我們?yōu)榭蛻舸蛟斓姆?wù)方案中,可基于客戶具體的業(yè)務(wù)場(chǎng)景,對(duì)應(yīng)用系統(tǒng)的各類風(fēng)險(xiǎn)進(jìn)行評(píng)級(jí),方便客戶有主次、有緩急的制定安全修復(fù)計(jì)劃。針對(duì)不同客戶開發(fā)團(tuán)隊(duì)的技術(shù)特點(diǎn),針對(duì)性的提供詳細(xì)的、可操作性的修復(fù)方案以及一對(duì)一培訓(xùn)指導(dǎo)服務(wù),確保客戶清楚了解風(fēng)險(xiǎn)原因,并輔助客戶進(jìn)行風(fēng)險(xiǎn)修復(fù)。
