產(chǎn)品簡(jiǎn)介
   源代碼安全審計(jì)是依據(jù)CVE(Common Vulnerabilities & Exposures)公共漏洞字典表、OWASP十大Web漏洞（Open Web Application Security Project）2013，以及設(shè)備、軟件廠商公布的漏洞庫(kù)，結(jié)合專業(yè)源代碼掃描工具對(duì)各種程序語(yǔ)言編寫的源代碼進(jìn)行安全審計(jì)。能夠?yàn)榭蛻籼峁┌ò踩幋a規(guī)范咨詢、源代碼安全現(xiàn)狀測(cè)評(píng)、定位源代碼中存在的安全漏洞、分析漏洞風(fēng)險(xiǎn)、給出修改建議等一系列服務(wù)。
   服務(wù)背景
   信息安全問(wèn)題時(shí)刻都有新的變化，新的攻擊方法層出不窮，黑客攻擊的方向越來(lái)越側(cè)重于利用軟件本身的安全漏洞，例如SQL注入漏洞、跨站腳本漏洞、CSRF漏洞等，這些漏洞主要由不良的軟件架構(gòu)和不安全的編碼產(chǎn)生。
開展源代碼安全審計(jì)能夠降低源代碼出現(xiàn)的安全漏洞，構(gòu)建安全的代碼，提高源代碼的可靠性，提高應(yīng)用系統(tǒng)自身安全防護(hù)能力。源代碼安全審計(jì)能夠幫助開發(fā)人員提高源代碼的質(zhì)量，從底層保障應(yīng)用系統(tǒng)本身的安全，從早期降低應(yīng)用系統(tǒng)的開發(fā)成本。
   服務(wù)內(nèi)容
  1.安全編碼規(guī)范及規(guī)則咨詢
  在軟件編碼之前，利用測(cè)評(píng)中心豐富的安全測(cè)試經(jīng)驗(yàn)，為系統(tǒng)開發(fā)人員提供安全編碼規(guī)范、規(guī)則的咨詢和建議，提前避免不安全的編碼方式，提高源代碼自身的安全性。
  2.源代碼安全現(xiàn)狀測(cè)評(píng)
  針對(duì)系統(tǒng)開發(fā)過(guò)程中的編碼階段、測(cè)試階段、交付驗(yàn)收階段、對(duì)各階段系統(tǒng)源代碼進(jìn)行安全審計(jì)檢測(cè)，利用數(shù)據(jù)流分析引擎、語(yǔ)義分析引擎、控制流分析引擎等技術(shù)，采用專業(yè)的源代碼安全審計(jì)工具對(duì)源代碼安全問(wèn)題進(jìn)行分析和檢測(cè)并驗(yàn)證，從而對(duì)源代碼安全漏洞進(jìn)行定級(jí)，給出安全漏洞分析報(bào)告等，幫助軟件開發(fā)的管理人員統(tǒng)計(jì)和分析當(dāng)前階段軟件安全的風(fēng)險(xiǎn)、趨勢(shì)，跟蹤和定位軟件安全漏洞，提供軟件安全質(zhì)量方面的真實(shí)狀態(tài)信息。
  3.源代碼整改咨詢
  依據(jù)源代碼安全測(cè)評(píng)結(jié)果，對(duì)源代碼安全漏洞進(jìn)行人工審計(jì)，并依據(jù)安全漏洞問(wèn)題給出相應(yīng)修改建議，協(xié)助系統(tǒng)開發(fā)人員對(duì)源代碼進(jìn)行修改。
   源代碼安全審計(jì)服務(wù)流程