代码审计
源代码安全审计是根据CVE公共漏洞字典表、OWASP十大WEB漏洞,以及设备、软件厂商公布的漏洞库,结合专业漏洞挖掘技术对各种程序语言编写的源代码进行安全审计。 为客户提供包括安全编码规范咨询、源代码安全现状测评、定位源代码中存在的安全漏洞、分析漏洞风险、给出修改建议等一系列的服务。
安全编码规范及规则咨询:利用兴先道信息安全团队丰富的安全测试经验,为软件开发人员提供安全编码规范、规则的咨询和建议,提高源代码自身的安全性。
源代码安全审计服务:针对已有应用系统,对软件源代码进行安全审计检测,利用数据流分析引擎、语义分析引擎、控制流分析引擎等技术,采用专业的源代码安全审计工具与漏洞挖掘技术对源代码安全问题进行分析和检测并验证,从而对源代码安全漏洞进行定级,给出安全漏洞分析报告等,帮助软件开发的管理人员统计和分析当前阶段软件安全的风险、趋势,跟踪和定位软件安全漏洞,提供软件安全质量方面的真实状态信息。
→ 现场方式—适合源代码不能对外提供的客户。
→ 非现场方式-客户方提供源代码样本。
向客户提交《源代码审计报告》,详细说明被审计代码的总体情况、审计发现的问题、进行追加审计的建议,以及针对已确定漏洞进行补救的建议。
