APP代碼審計(jì)檢測系統(tǒng)架構(gòu)

測試系統(tǒng)主要分為兩個模塊，一個是分析引擎模塊，一個是測試管理模塊。不同平臺上開發(fā)的軟件代碼可以通過中間的分布式調(diào)度方式來完成分發(fā)調(diào)度測試。如圖所示：

目前可以支持對 JAVA、JSP、 C、C 、PHP、ASP、 C#、Javascript、VBscript、Python、HTML、XML等十幾開發(fā)語言的安全漏洞的檢查，共能夠檢測出約 1000種漏洞。啟天安全源代碼審計(jì)系統(tǒng)將所有安全漏洞系統(tǒng)地整理并依據(jù)漏洞的表現(xiàn)形式、形成原因和危害程序進(jìn)行科學(xué)地分類，共分為“輸入驗(yàn)證、API 誤用、質(zhì)量性能、異常處理、 代碼規(guī)范、安全控制、環(huán)境配置、信息封裝”8個大類，然后根據(jù)開發(fā)語言的不同，在結(jié)合國際漏洞標(biāo)準(zhǔn)組織CWE的漏洞知識庫進(jìn)行細(xì)分和命名，目前約1000個子類。

源代碼審計(jì)解決方案

服務(wù)描述

源代碼審計(jì)就是檢查源代碼中的安全缺陷，開展源代碼安全審計(jì)能夠降低源代碼出現(xiàn)的安全漏洞，構(gòu)建安全的代碼，提高源代碼的可靠性，提高應(yīng)用系統(tǒng)自身的安全防護(hù)能力。

◆ 服務(wù)流程

代碼審計(jì)服務(wù)針對系統(tǒng)開發(fā)過程中的編碼階段、測試階段、交付驗(yàn)收階段、對各階段系統(tǒng)源代碼進(jìn)行安全審計(jì)檢測，利用數(shù)據(jù)流分析引擎、語義分析引擎、控制流分析引擎等技術(shù)，采用的源代碼安全審計(jì)工具對源代碼安全問題進(jìn)行分析和檢測并驗(yàn)證，從而對源代碼安全漏洞進(jìn)行定級，給出安全漏洞分析報告等，幫助軟件開發(fā)的管理人員統(tǒng)計(jì)和分析當(dāng)前階段軟件安全的威脅、趨勢，跟蹤和安全漏洞，提供軟件安全質(zhì)量方面的真實(shí)狀態(tài)信息。

◆ 服務(wù)價值

1.源代碼審計(jì)工作先于攻擊者發(fā)現(xiàn)應(yīng)用軟件、程序中的安全漏洞，有助于客戶及時做好代碼加固工作；

2.源代碼審計(jì)以代碼安全為關(guān)注視角，以發(fā)現(xiàn)程序安全漏洞為目標(biāo)，可提升軟件開發(fā)人員的安全編程能力。

代碼審計(jì)有什么作用

      源代碼安全檢測是緩解軟件安全問題的有效途徑，可從源頭上大量減少代碼注入、跨站腳本等高危安全問題，進(jìn)而提升信息系統(tǒng)的安全性。根據(jù)Gartner統(tǒng)計(jì)，在軟件代碼實(shí)現(xiàn)階段發(fā)現(xiàn)并糾正安全問題所花費(fèi)的成本，比軟件交付后通過“上線安全評估”發(fā)現(xiàn)問題再進(jìn)行整改的成本要低50~1000倍。越早發(fā)現(xiàn)源代碼安全問題，其修復(fù)成本越低，代碼審計(jì)可以幫助組織在軟件開發(fā)過程中“盡早盡快”發(fā)現(xiàn)安全問題，有效降低軟件修復(fù)成本。