知识分享
源代码审计服务
1.背景
软件源代码中安全漏洞和未声明功能的存在是安全事件频繁发生的根源。忽视软件源代码自身的安全性,仅仅依靠外围的防护、事后的修补等方法,往往事倍功半。只有通过管理和技术手段保障了软件代码自身的安全性,再辅以各种安全防护手段,才是解决当前安全问题的根本之道。抛开代码谈信息安全,难免有舍本逐末之嫌!
软件源代码中安全漏洞和未声明功能的存在是安全事件频繁发生的根源。忽视软件源代码自身的安全性,仅仅依靠外围的防护、事后的修补等方法,往往事倍功半。只有通过管理和技术手段保障了软件代码自身的安全性,再辅以各种安全防护手段,才是解决当前安全问题的根本之道。抛开代码谈信息安全,难免有舍本逐末之嫌!
2.服务内容
源代码审计是采用自动化工具扫描与人工审计相结合的方式,根据相关标准及编码规范,针对应用程序源代码,从结构、框架、接口、数据流、业务流等方面进行漏洞和缺陷审查,检查在编码层面是否存在安全隐患,并对发现的问题提供修复建议。支持JAVA、C/C++、C#、PHP、PYTHON 等主流开发语言。
源代码审计是采用自动化工具扫描与人工审计相结合的方式,根据相关标准及编码规范,针对应用程序源代码,从结构、框架、接口、数据流、业务流等方面进行漏洞和缺陷审查,检查在编码层面是否存在安全隐患,并对发现的问题提供修复建议。支持JAVA、C/C++、C#、PHP、PYTHON 等主流开发语言。
3.服务依据标准和原则
3.1.服务标准和规范
(1)《GB/T 34943-2017 C/C++语言源代码漏洞测试规范》
(2)《GB/T 34946-2017 C#语言源代码漏洞测试规范》
(3)《GB/T 34944-2017 Java语言源代码漏洞测试规范》
(4)《SJ/T 11682-2017C/C++语言源代码缺陷控制与测试指南》
(5)《SJ/T 11681-2017C#语言源代码缺陷控制与测试指南》
(6)《SJ/T 11683-2017JAVA语言源代码缺陷控制与测试指南》
(7)OWASP TOP 10
(8)CWE/SANS TOP 25
3.2.服务原则
3.2.1.保密性原则
保密性原则是原代码审计服务中最重要的原则和前提。原代码审计的保密范围,包括客户提供源代码、相关技术文档及输出成果的保密性。服务过程中获知的任何客户系统及源代码的信息均属秘密信息,不得泄露给第三方单位或个人,不得利用这些信息进行任何侵害客户的行为,对服务的报告提交不得扩散给未经授权的第三方单位或个人。
3.2.2.规范性原则
源代码审计服务将按照CNAS实验室管理体系相关要求严格执行。实施过程由专业的安全审计工程师依照规范的操作流程进行,对操作过程和结果要有相应的记录,提供完整的源代码审计报告。
3.1.服务标准和规范
(1)《GB/T 34943-2017 C/C++语言源代码漏洞测试规范》
(2)《GB/T 34946-2017 C#语言源代码漏洞测试规范》
(3)《GB/T 34944-2017 Java语言源代码漏洞测试规范》
(4)《SJ/T 11682-2017C/C++语言源代码缺陷控制与测试指南》
(5)《SJ/T 11681-2017C#语言源代码缺陷控制与测试指南》
(6)《SJ/T 11683-2017JAVA语言源代码缺陷控制与测试指南》
(7)OWASP TOP 10
(8)CWE/SANS TOP 25
3.2.服务原则
3.2.1.保密性原则
保密性原则是原代码审计服务中最重要的原则和前提。原代码审计的保密范围,包括客户提供源代码、相关技术文档及输出成果的保密性。服务过程中获知的任何客户系统及源代码的信息均属秘密信息,不得泄露给第三方单位或个人,不得利用这些信息进行任何侵害客户的行为,对服务的报告提交不得扩散给未经授权的第三方单位或个人。
3.2.2.规范性原则
源代码审计服务将按照CNAS实验室管理体系相关要求严格执行。实施过程由专业的安全审计工程师依照规范的操作流程进行,对操作过程和结果要有相应的记录,提供完整的源代码审计报告。
4.服务流程
