主流開(kāi)發(fā)代碼檢測(cè)案例在線咨詢「多圖」

APP代碼審計(jì)檢測(cè)系統(tǒng)架構(gòu)

測(cè)試系統(tǒng)主要分為兩個(gè)模塊，一個(gè)是分析引擎模塊，一個(gè)是測(cè)試管理模塊。不同平臺(tái)上開(kāi)發(fā)的軟件代碼可以通過(guò)中間的分布式調(diào)度方式來(lái)完成分發(fā)調(diào)度測(cè)試。如圖所示：

目前可以支持對(duì) JAVA、JSP、 C、C 、PHP、ASP、 C#、Javascript、VBscript、Python、HTML、XML等十幾開(kāi)發(fā)語(yǔ)言的安全漏洞的檢查，共能夠檢測(cè)出約 1000種漏洞。啟天安全源代碼審計(jì)系統(tǒng)將所有安全漏洞系統(tǒng)地整理并依據(jù)漏洞的表現(xiàn)形式、形成原因和危害程序進(jìn)行科學(xué)地分類(lèi)，共分為“輸入驗(yàn)證、API 誤用、質(zhì)量性能、異常處理、 代碼規(guī)范、安全控制、環(huán)境配置、信息封裝”8個(gè)大類(lèi)，然后根據(jù)開(kāi)發(fā)語(yǔ)言的不同，在結(jié)合國(guó)際漏洞標(biāo)準(zhǔn)組織CWE的漏洞知識(shí)庫(kù)進(jìn)行細(xì)分和命名，目前約1000個(gè)子類(lèi)。

源代碼審計(jì)解決方案

服務(wù)描述

源代碼審計(jì)就是檢查源代碼中的安全缺陷，開(kāi)展源代碼安全審計(jì)能夠降低源代碼出現(xiàn)的安全漏洞，構(gòu)建安全的代碼，提高源代碼的可靠性，提高應(yīng)用系統(tǒng)自身的安全防護(hù)能力。

◆ 服務(wù)流程

代碼審計(jì)服務(wù)針對(duì)系統(tǒng)開(kāi)發(fā)過(guò)程中的編碼階段、測(cè)試階段、交付驗(yàn)收階段、對(duì)各階段系統(tǒng)源代碼進(jìn)行安全審計(jì)檢測(cè)，利用數(shù)據(jù)流分析引擎、語(yǔ)義分析引擎、控制流分析引擎等技術(shù)，采用的源代碼安全審計(jì)工具對(duì)源代碼安全問(wèn)題進(jìn)行分析和檢測(cè)并驗(yàn)證，從而對(duì)源代碼安全漏洞進(jìn)行定級(jí)，給出安全漏洞分析報(bào)告等，幫助軟件開(kāi)發(fā)的管理人員統(tǒng)計(jì)和分析當(dāng)前階段軟件安全的威脅、趨勢(shì)，跟蹤和安全漏洞，提供軟件安全質(zhì)量方面的真實(shí)狀態(tài)信息。

◆ 服務(wù)價(jià)值

1.源代碼審計(jì)工作先于攻擊者發(fā)現(xiàn)應(yīng)用軟件、程序中的安全漏洞，有助于客戶及時(shí)做好代碼加固工作；

2.源代碼審計(jì)以代碼安全為關(guān)注視角，以發(fā)現(xiàn)程序安全漏洞為目標(biāo)，可提升軟件開(kāi)發(fā)人員的安全編程能力。

代碼審計(jì)有什么作用

      源代碼安全檢測(cè)是緩解軟件安全問(wèn)題的有效途徑，可從源頭上大量減少代碼注入、跨站腳本等高危安全問(wèn)題，進(jìn)而提升信息系統(tǒng)的安全性。根據(jù)Gartner統(tǒng)計(jì)，在軟件代碼實(shí)現(xiàn)階段發(fā)現(xiàn)并糾正安全問(wèn)題所花費(fèi)的成本，比軟件交付后通過(guò)“上線安全評(píng)估”發(fā)現(xiàn)問(wèn)題再進(jìn)行整改的成本要低50~1000倍。越早發(fā)現(xiàn)源代碼安全問(wèn)題，其修復(fù)成本越低，代碼審計(jì)可以幫助組織在軟件開(kāi)發(fā)過(guò)程中“盡早盡快”發(fā)現(xiàn)安全問(wèn)題，有效降低軟件修復(fù)成本。