企业级源代码安全审计

      代码审计专家服务团队,除了提供网络、现场的源代码审计服务外,为了帮助企业建立代码安全审计平台、Devops/DevSecOps平台、代码扫描基线、安全和质量编码规范、制度流程,打通企业研发的各个管理环节,实现自动化等企业级源代码安全审计咨询服务。

      企业要建立代码安全审计平台,实现高效的自动化代码安全审计,需要打通企业研发生命周期的各个环节,让自动化检测工具融入现有开发、测试环境,并真正被接受和充分利用,需要从工具选型、扫描基线、编码规范到制度流程等各个环节进行评估和设计。包括但不限于下面所要完成的工作。

  1. 源代码安全检测工具选型建议
  2. 源代码安全基线分析与制定
  3. 软件安全编码规范制定及实施
  4. 源代码检测自动化流程实现
  5. 软件安全开发技术培训
  6. 项目试点和推广

企业级的代码安全审计建设后可实现:企业关注的风险,例如安全漏洞、运行时缺陷、合规性,都有编码规范要求;编码规范要求的,都会在检测或审计环节被检测;检测出的问题,都有详细的问题剖析和修复说明可查。

主要工作如下:

1、源代码安全检测分析工具选型建议

代码安全审计专家制定调研表,由开发团队填写提交,根据反馈内容进行访谈,了解企业常用语言、架构、合规要求等特征,并对比业内各种源代码安全扫描工具的优缺点及企业特点,分析企业应用系统代码安全扫描最适合的工具,为企业选择扫描工具提供依据,或提出工具定制化方案。

2、源代码安全基线分析与制定

代码安全审计专家通过对调研结果的分析,与客户开发团队共同制定源代码安全基线。也就是团队可以接受的安全漏洞、运行时缺陷等类型和级别,形成一个门限。不达到这个门限软件就不能进入下一个流程,当然不同阶段可以设定不同的门限。

3、软件安全编码规范制定及实施

代码安全审计专家能够根据设定的门限,定制出安全编码规范,并能够在团队落地。选型工具能够支持安全编码规范的落地。

4、源代码检测自动化流程实现

根据企业开发、测试环境,将代码检测工具与源码版本管理工具(SVN、GIT等)、邮件服务器、IDE、缺陷跟踪、持续集成CI/CD等集成,实现自动高效的代码检测和管理。

5、软件安全开发技术培训

代码安全审计专家会根据制定的安全编码规范、制度等设计培训课程,对研发团队进行管理和技术上的培训。便于让代码安全审计能够推广落实。

6、项目试点和推广

 

6.1 试点项目选择与调查

根据历史项目扫描结果中各系统漏洞覆盖情况,以及系统的重要性等方面,从中选取若干试点系统作为试点扫描目标,调查系统的各项技术特征和业务特征,由代码审计专家进行详细分析。

6.2 试点项目扫描与扫描结果分析

审计专家根据调查结果,优化工具策略,对试点系统代码进行进一步扫描,以会议等形式为开发团队详细解读发现的各类安全漏洞、运行时缺陷以及违反合规要求的原因、危害、代码中的路径溯源,并编写试点项目代码风险评估报告,提供切实可行的修复建议指导开发人员的修复工作。并总结试点项目的成功和失败经验,为后续推广做准备。

6.3 推广

在试点项目结束并对研发团队做了培训之后,就可以开展推广了。在正式推广之前,是需要做一个推广方案,而不是一刀切方式。

 (完)

  • 1
    点赞
  • 0
    评论
  • 4
    收藏
  • 打赏
    打赏
  • 扫一扫,分享海报

©️2022 CSDN 皮肤主题:Age of Ai 设计师:meimeiellie 返回首页

打赏作者

manok

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值