国内最强的代码审查工具出具的报告,针对OWASP Benchmark检测结果,由于致命和严重缺陷,安全漏洞就有500多页,我只是截取了几十页,共大家参考。
由于导入和粘贴不支持表格,导入进来都乱掉了。Benchmark代码检测报告公司2019年10月25日被测项目名称
Benchmark测试类别
静态代码审查测试日期
2019年10月25日委托单位
公司测评结论
公司
2019年10月25日编 制: 审 批: 批 准:
概况
测试对象
Benchmark
风险等级
风险等级是参照NASA Software Safety Guidebook风险等级划分,如下表所示:
表一:缺陷严重等级
缺陷严重等级
等级描述
致命
会造成程序崩溃的缺陷
严重
可能会影响程序的功能和性能的缺陷
错误
会影响程序的功能和性能,或者造成未定义行为的缺陷
警告
会轻度的影响程序功能性能,或者潜在的影响程序功能性能。
建议
不会直接影响程序的功能和性能,但这不是良好的代码风格,可能会有潜在的影响。
测试选用规则
CoBOT 成立代码审计技术服务小组,该任务组在工作组织中,开展了安全保密教育,制定了安全保密措施,签署了安全保密协议,并有针对性的做好测试服务的各项准备。
测试原则
本次测试工作中严格遵循以下原则:
(1)标准性原则:代码审计方案的设计和实施应依据行业、国家、国际的相关标准进行;
(2)规范性原则:软件开发商的工作过程和所有文档,应具有很好的规范性,以便于项目的跟踪和控制;
(3)可控性原则:在保证测试质量的前提下,按计划进度执行,需要保证对代码审计工作的可控性,代码审计的工具、方法和过程要在双方认可的范围之内合法进行;
(4)整体性及有限性原则:渗透性测试的内容应包括用户等各个层面,渗透性测试的对象应包括和仅限于用户所指定的具体设备及系统,未经用户授权不得减小或扩大渗透性测试的范围和对象;
(5)最小影响原则:源代码安全审查工作在模拟系统开发环境的测试机上进行,不能对正常运行的系统构成破坏和停止;
(6)保密原则:源代码安全审查的过程和结果应严格保密,不能泄露测试项目所涉及的任何打印和电子形式的有效数据和文件。
详情
本次代码测试情况如下表所示:
Java语言安全编码规则检测结果汇总
Java语言安全编码规则检测结果详解
Java语言网络安全规则检测结果汇总
Java语言网络安全规则检测结果详解
(完)