服务概述
代码审计服务是由具备丰富编码经验和安全知识的专业人员对系统的源代码和软件架构进行全面的安全检查,发现并修复代码中存在的安全漏洞和风险。代码审计服务的目的是为了提升系统的安全性、可靠性和合规性,防止或减少因网络安全事件造成的损失和影响
前期准备
初次代码审计
回归审计
技术沟通
确认审计对象
获取开发文档
制定审计方案
自动化工具扫描
人工代码审计
汇总审计结果
生成审计报告
代码回归审计
回归审计报告
服务内容
开源框架
系统所用开源框架,包括反序列化漏洞,远程代码执行漏洞,spring、struts2安全漏洞,PHP安全漏洞等
API滥用
不安全的数据库调用、随机数创建、内存管理调用、字符串操作,危险的系统方法调用
应用代码
日志伪造漏洞,密码明文存储,资源管理,调试程序残留,二次注入,反序列化
资源滥用
不安全的文件创建/修改/删除,竞争冲突,内存泄露等
服务价值
现并修复代码中存在的安全漏洞和风险,检查并优化代码中的安全控制措施
明确安全隐患
规范代码中的编码习惯和风格,评估代码中的安全性能和效率,有效督促开发人员提高安全意识,从而降低整体风险
提高安全意识
通过产出审计报告,以及安全人员与开发人员的沟通,使开发人员更好的完善代码安全开发规范,提升开发质量
提升代码开发质量
