產(chǎn)品簡介
   源代碼安全審計是依據(jù)CVE(Common Vulnerabilities & Exposures)公共漏洞字典表、OWASP十大Web漏洞（Open Web Application Security Project）2013，以及設(shè)備、軟件廠商公布的漏洞庫，結(jié)合專業(yè)源代碼掃描工具對各種程序語言編寫的源代碼進行安全審計。能夠為客戶提供包括安全編碼規(guī)范咨詢、源代碼安全現(xiàn)狀測評、定位源代碼中存在的安全漏洞、分析漏洞風(fēng)險、給出修改建議等一系列服務(wù)。
   服務(wù)背景
   信息安全問題時刻都有新的變化，新的攻擊方法層出不窮，黑客攻擊的方向越來越側(cè)重于利用軟件本身的安全漏洞，例如SQL注入漏洞、跨站腳本漏洞、CSRF漏洞等，這些漏洞主要由不良的軟件架構(gòu)和不安全的編碼產(chǎn)生。
開展源代碼安全審計能夠降低源代碼出現(xiàn)的安全漏洞，構(gòu)建安全的代碼，提高源代碼的可靠性，提高應(yīng)用系統(tǒng)自身安全防護能力。源代碼安全審計能夠幫助開發(fā)人員提高源代碼的質(zhì)量，從底層保障應(yīng)用系統(tǒng)本身的安全，從早期降低應(yīng)用系統(tǒng)的開發(fā)成本。
   服務(wù)內(nèi)容
  1.安全編碼規(guī)范及規(guī)則咨詢
  在軟件編碼之前，利用測評中心豐富的安全測試經(jīng)驗，為系統(tǒng)開發(fā)人員提供安全編碼規(guī)范、規(guī)則的咨詢和建議，提前避免不安全的編碼方式，提高源代碼自身的安全性。
  2.源代碼安全現(xiàn)狀測評
  針對系統(tǒng)開發(fā)過程中的編碼階段、測試階段、交付驗收階段、對各階段系統(tǒng)源代碼進行安全審計檢測，利用數(shù)據(jù)流分析引擎、語義分析引擎、控制流分析引擎等技術(shù)，采用專業(yè)的源代碼安全審計工具對源代碼安全問題進行分析和檢測并驗證，從而對源代碼安全漏洞進行定級，給出安全漏洞分析報告等，幫助軟件開發(fā)的管理人員統(tǒng)計和分析當(dāng)前階段軟件安全的風(fēng)險、趨勢，跟蹤和定位軟件安全漏洞，提供軟件安全質(zhì)量方面的真實狀態(tài)信息。
  3.源代碼整改咨詢
  依據(jù)源代碼安全測評結(jié)果，對源代碼安全漏洞進行人工審計，并依據(jù)安全漏洞問題給出相應(yīng)修改建議，協(xié)助系統(tǒng)開發(fā)人員對源代碼進行修改。
   源代碼安全審計服務(wù)流程