代码审计服务

开展代码审计能够降低源代码出现的安全漏洞，构建安全的代码，提高源代码的可靠性，提高应用系统自身安全防护能力。源代码安全审计能够帮助开发人员提高源代码的质量，从底层保障应用系统本身的安全，从早期降低应用系统的开发成本。

代码审计服务的流程：

在签订服务合同后，为保障客户的利益，安创科技将同时和客户签订相应的保密协议。确定双方的权利和责任后，将按照下图所示流程进行代码审计服务实施。

代码审计服务的内容：

提供的代码审计服务包括以下三个方面：

• 安全编码规范及规则咨询

在软件编码之前，为系统开发人员提供安全编码规范、规则的咨询和建议，提前避免不安全的编码方式，提高源代码自身的安全性。

• 源代码安全现状测评

针对系统开发过程中的编码阶段、测试阶段、交付验收阶段、对各阶段系统源代码进行安全审计检测，利用数据流分析引擎、语义分析引擎、控制流分析引擎等技术，采用专业的源代码安全审计工具对源代码安全问题进行分析和检测并验证，从而对源代码安全漏洞进行定级，给出安全漏洞分析报告等，帮助软件开发的管理人员统计和分析当前阶段软件安全的风险、趋势，跟踪和定位软件安全漏洞，提供软件安全质量方面的真实状态信息。

• 源代码整改咨询

 依据源代码安全测评结果，对源代码安全漏洞进行人工审计，并依据安全漏洞问题给出相应修改建议，协助系统开发人员对源代码进行修改。

1、计划准备

      项目基本情况及目标介绍，代码审计实施方案及计划，代码审计成果的确认。

2、审计过程

• 从内容分类来讲可分为：输入验证、输出编码、身份验证和密码管理、会话管理、访问控制、加密规范、错误处理和日志、数据保护、通讯安全、系统配置、数据库安全、文件管理、内存管理、通用编码实践等。

• 同时也包括各种组织公布的常见典型的安全漏洞，如OWASP Top10等，OWASP Top10包括 ：注入、失效的身份认证和会话管理、跨站脚本（XSS）、不安全的直接对象引用、安全配置错误、敏感信息泄漏、功能级访问控制缺失、跨站请求伪造（CSRF）、使用含有已知漏洞的组件、未验证的重定向和转发等。

• 当应用程序收到用户的请求，对其进行逻辑上的处理和操作，使得用户能够得到最终的返回结果。顺着这一代码逻辑，代到可能有安全威胁的代码或者直到所有的输入都被过滤或限定为安全为止。

• 根据敏感函数的关键词字典，从应用点回溯器接受参数，一步步向上跟踪，直到排除嫌疑或发现安全隐患为止。

• 从生命周期和代码的逻辑出发，人工或工具 来遍历代码逻辑上的所有可能形成的路径，并发现这些路径上可能存有的安全隐患。

3、人工审计

通常先使用工具对代码进行一个全面的扫描，再结合人工分析，跟踪各种数据流、各种函数、方法的调用。

4、成果提交

代码安全审计工作 完成后，输出系统的审计成果，包括：《代码安全审计报告》、《代码安全审计问题跟踪表》。

• 《代码安全审计报告》包括发现代码问题的详细分析过程、漏洞验证结果、漏洞加固建议等关键内容。

• 《代码安全审计问题跟踪表》用于后续对代码问题整改的闭环管理跟踪。