代码审计

代码审计是指检查源代码中的安全缺陷，检查程序源代码是否存在安全隐患，或者有编码不规范的地方，通过自动化工具或者人工审查的方式，对程序源代码逐条进行检查和分析，发现这些源代码缺陷引发的安全漏洞，并提供代码修订措施和建议，指导开发人员正确修复程序缺陷。 国舜股份代码审计服务语言支持：ASP.NET、JavaScript、Python、PHP等。主要分为四个阶段，包括代码审计前期准备阶段、代码审计阶段实施、复测阶段实施以及成果汇报阶段： ▶ 前期准备阶段 在实施代码审计工作前，技术人员会和客户对代码审计服务相关的技术细节进行详细沟通。由此确认代码审计的方案，方案内容主要包括确认的代码审计范围、最终对象、审计方式、审计要求和时间等内容。 ▶ 代码审计阶段实施 在代码审计实施过程中，国舜代码审计服务人员首先使用代码审计的扫描工具对源代码进行扫描，完成初步的信息收集，然后由人工的方式对源代码扫描结果进行人工的分析和确认。根据收集的各类信息对客户要求的重要功能点进行人工代码审计。 结合自动化源代码扫描和人工代码审计两方的结果，代码审计服务人员需整理代码审计服务的输出结果并编制代码审计报告，最终提交客户和对报告内容进行沟通。 ▶ 复测阶段实施 经过第一次代码审计报告提交和沟通后，等待客户针对代码审计发现的问题整改或加固。经整改或加固后，代码审计服务人员进行回归检查，即二次检查。检查结束后提交给客户复查报告和对复查结果进行沟通。 ▶ 成果汇报阶段 根据一次代码审计和二次复查结果，整理代码审计服务输出成果，输出《代码审计报告》。

▶ GB/T 39412-2020 信息安全技术 代码安全审计规范 ▶ GB/T 34943-2017 C/C++语言源代码漏洞测试规范 ▶ GB/T 34944-2017 Java语言源代码漏洞测试规范 ▶ GB/T 34946-2017 C#语言源代码漏洞测试规范 ▶ OWASP（Open Web Application Security Project）公共漏洞字典表 ▶ CVE（Common Vulnerabilities & Exposures）公共漏洞字典表 ▶ 软件安全开发标准（ISO/IEC 27034） ▶ 国舜股份代码审计实践