***应用代码审计方案

***是网络攻击的主要目标，企业也将信息安全作为其的关注点之一。近年来，***系统的安全事件不绝于耳。导致这些攻击事件的主要根源是由于应用程序自身的漏洞，因此保障应用安全成了当前***业信息安全的工作***。

***面临的应用安全问题主要有以下几个方面：

1、 应用数量庞大，实现全部安全测试并实时监控的难度很大。

要想实现对所有的应用进行详尽的安全测试，并在其版本更新时立即进行回归测试，无论是人工测试还是利用传统渗透测试工具及静态代码扫描工具都无法很好的达到目的。人工的方式太耗费人力。渗透测试工具依赖于人，且对于很多测试路径无法达到。静态工具误报率高，扫描的效率低下。

2、 为了快速应对需求变更，***行业软件大量使用敏捷开发的模型，这使得安全代码审核的工作量加大。

敏捷开发的模型的特点是快速迭代，频繁的版本发布加大的安全代码审核的工作量，人工审核的方式已无法全部覆盖到。

3、 有大量项目是外包开发，其安全质量无法把控。

外包团队往往只注重对功能需求的完成，而不太顾及代码质量与安全问题。 企业没有很好的方法在过程中加强安全质理的管理。

对外包团开发的代码进行安全审计是***保障应用安全的关键活动。SECZONE经过多年的安全服务的积累，对于***外包代码安全审计形成了包括培训、S-SDLC流程、IAST技术组成的成熟解决方案。

1、应用安全培训

2、S-SDLC软件安全开发生命周期流程

3、利用IAST工具进行源码审核

4、兼容敏捷开发模式

5、实现对外包团队开发质量的控制

代码审计服务介绍

      应用系统软件自身的安全性是确保应用系统安全稳定运行的关键。但通常应用系统在开发的过程中会引入安全缺陷而造成应用系统自身存在安全漏洞，如被外部威胁所利用会产生安全风险，造成不良的安全影响。需要通过采用应用系统源代码安全审计的方式，来减少和降低开发过程中的安全缺陷和安全漏洞。

      因此，通过开展应用系统源代码审计工作，减少客户应用系统的安全漏洞和缺陷隐患，有效降低客户应用系统安全风险，保障应用系统安全稳定运行。

怎么做代码安全审计

      首先客户提出代码安全审计要求，内容包括测试范围和时间，在提交《代码审计申请》与源代码时，附带《免责声明》一起给客户，客户收到申请与免责声明之后，确认审计范围与时间无误之后。客户提交给项目接口人，接口人进行工作量台账记录，然后由项目负责人进行工作安排，开始编写代码审计方案，经过客户方面认可代码审计方案后，开始实施代码审计工作，在审计过程中通过代码审计设备进行详细审计记录，通过信息收集、漏洞分析和成果整理编写出《代码审计报告》，并提交给客户，并协助完成漏洞修复。

      在漏洞修复工作之后，项目组进行代码审计复测，并输出《代码审计复测报告》，在客户方确认之后，单个系统代码审计工作完成。

代码安全审计需要做什么准备工作

      在代码审计前期准备阶段，项目组将根据业务系统的实际情况定制访谈材料，采用文档审核和访谈方式对业务软件功能、架构、运行环境和编程语言等实际情况进行调研。了解业务系统的开发环境、架构、安全现状以及运行环境等可能对业务系统安全性产生影响的各种因素。同时会准备代码审计工具、务系统测试系统等环境，为代码审查工作的开展提供必要条件。