一、什么是代码审计?
是由具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。
目的在于充分挖掘当前代码中存在的安全缺陷以及规范性缺陷,从而让开发人员了解其开发的应用系统可能会面临的威胁,并指导开发人员正确修复程序缺陷。
二、做源代码审计的必要性
程序的安全性是否有保障很大程度上取决于源程序代码的安全性,而保证源代码质量最快捷有效的手段就是源代码审计。
在风险评估过程中,源代码审计是一般脆弱性评估的一种很好的补充,源代码审计服务的代码覆盖率为100%,能够找到一些安全测试所无法发现的安全漏洞。
同时,由于主持源代码审计的安全服务人员一般都具备丰富的安全编码经验和技能,所以其针对性比常见的脆弱性评估手段会更强、粒度也会更为细致。
三、哪些业务场景需要做代码审计工作?
- 即将上线的新系统平台;
- 存在大量用户访问、高可用、高并发请求的网站;
- 存在用户资料等敏感机密信息的企业平台;
- 互联网金融类存在业务逻辑问题的企业平台;
- 开发过程中对重要业务功能需要进行局部安全测试的平台;
四、代码审计服务范围
源代码审计服务的范围包括使用ASP、 ASP.NET(VB/C#)、JSP(JAVA)、PHP等主流语言开发的B/S应用系统、使用C++、JAVA、C#、VB等主流语言开发的C/S应用系统,以及使用XML语言编写的文件、SQL语言和数据库存储过程等。