服务介绍
代码静态安全审计的目的是对产品的安全性、正确性进行审计;尽可能早的发现并确定产品中在安全方面的缺陷和隐患,找出源代码缺陷所引发的安全漏洞并提供代码修订措施和建议;可以更好的理解软件产品,防止漏洞导致安全事件的发生,避免遭受损失;协助开发出高质量的可交付产品。
服务内容:
针对客户提供的待检测的源代码,由代码安全审计团队进行安全审计,通过工具+人工,两者结合的方式,对客户的源代码进行分析,尽可能的发现安全方面的缺陷和隐患,并及时协助进行修复。服务流程主要包含以下阶段:
➢ 信息收集:此阶段中,源代码审计小组进行必要的信息收集,包括本次源代码审计要求、稳定版本的源代码。
➢ 工具审计:确定工具审计的标准和各项配置参数,使用代码安全检测工具对目标源代码进行检测,对工具检测的结果进行人工核查,筛选,分析,汇总。
➢ 人工审计:对客户要求人工审计的重点代码采用人工分析的方法,对源代码中的业务流程及安全漏洞进行审计。
➢ 审计核验:对工具以及人工审计的漏洞,根据源代码流程复盘核验,并根据流程核验结果与利用范围确定危险等级。
➢ 输出报告:此阶段中,源代码审计小组根据测试的结果编写直观的源代码审计服务报告。
服务程度:
可以提供C,C++,.Net,Java,JSP,NodeJs,Go,PHP等多种编程语言的代码审计。
可发现的漏洞,包括但不限于,三方代码漏洞、木马上传、SQL注入、XSS、CSRF、Shell提权、暴力破解、明文敏感数据传输、路径与文件篡改、拖库等一系列安全问题。
在使用工具对应用软件的源代码进行静态的分析,分析的过程中与其特有的软件安全漏洞规则集进行全面地匹配、查找,从而实现对源码漏洞的全面分析与安全漏洞筛查。
人工审计环节,在基于工具的审计结果之上,通过人工重点审计,能够针对项目的开发特征,对多漏洞利用链进行分析、同时针对语言特性,对反序列化,构造函数等动态语言特性的执行流程进行推演,实现对工具审计结果之外的进一步强化。