代码审计服务介绍

      应用系统软件自身的安全性是确保应用系统安全稳定运行的关键。但通常应用系统在开发的过程中会引入安全缺陷而造成应用系统自身存在安全漏洞，如被外部威胁所利用会产生安全风险，造成不良的安全影响。需要通过采用应用系统源代码安全审计的方式，来减少和降低开发过程中的安全缺陷和安全漏洞。

      因此，通过开展应用系统源代码审计工作，减少客户应用系统的安全漏洞和缺陷隐患，有效降低客户应用系统安全风险，保障应用系统安全稳定运行。

代码审计服务流程

1、准备阶段

      在代码审计前期准备阶段，项目组将对业务软件功能、架构、运行环境和编程语言等实际情况进行调研，为代码审查工作的开展提供必要条件。

2、审核阶段

      前期准备工作完成后将进入代码审核阶段，主要采用人工审核为主和自动化审计工具辅助的方式进行安全审计，通过审计发现安全缺陷并***到具体的代码给出整改建议。

3、制作报告

      对于审计发现的问题，我们会对发现的问题进行相关分析，提出整改建议终形成书面报告，若有需要可***会议进行汇报。

4、安全整改

      我们会协助开发人员整改安全漏洞并复查漏洞的整改情况，确保产品上线后安全稳定的运行。

自动化代码审计工具的优缺点

优点:

? 检测容易出现的漏洞和数百个其他漏洞，包括SQL注入和跨站点脚本

? 在敏捷和持续集成环境中，快速和大量代码测试的能力是至关重要的

? 能够按需调度和运行

? 能够添加包括业务逻辑在内的非安全性检查

? 能够根据***的需要扩展自动化测试

? 根据工具的选择，可以根据***的需要，特别是特定的合规性规范和值的应用程序，定制自动化的源代码评审工具

? 可以帮助提高开发人员的安全意识，并提供一种更好地培训使用该工具的开发人员的方法

缺点：

? 不允许进行微调和自定义的工具可能会产生误报和误报

? 覆盖范围和广度实际上取决于你选择的工具以及它所涵盖的语言、框架和标准

? 为那些不熟悉静态代码检查器的人提供了一个学习曲线

? 尽管有强大的通用开发语言自动审查开源工具，但它们并不总是符合预算计划的