APP代碼審計檢測系統(tǒng)架構(gòu)

測試系統(tǒng)主要分為兩個模塊，一個是分析引擎模塊，一個是測試管理模塊。不同平臺上開發(fā)的軟件代碼可以通過中間的分布式調(diào)度方式來完成分發(fā)調(diào)度測試。如圖所示：

目前可以支持對 JAVA、JSP、 C、C 、PHP、ASP、 C#、Javascript、VBscript、Python、HTML、XML等十幾開發(fā)語言的安全漏洞的檢查，共能夠檢測出約 1000種漏洞。啟天安全源代碼審計系統(tǒng)將所有安全漏洞系統(tǒng)地整理并依據(jù)漏洞的表現(xiàn)形式、形成原因和危害程序進行科學地分類，共分為“輸入驗證、API 誤用、質(zhì)量性能、異常處理、 代碼規(guī)范、安全控制、環(huán)境配置、信息封裝”8個大類，然后根據(jù)開發(fā)語言的不同，在結(jié)合國際漏洞標準組織CWE的漏洞知識庫進行細分和命名，目前約1000個子類。

代碼審計——客戶收益

明確安全隱患點代碼審計能夠?qū)φ麄€信息系統(tǒng)的所有源代碼進行檢查，從整套源代碼切入終明至某個威脅點并加以驗證，以此明確整體系統(tǒng)中的安全隱患點。提高安全意識任何的隱患在代碼審計服務(wù)中都可能造成“千里之堤潰于蟻穴” 的效果，因此代碼審計服務(wù)可有效督促管理人員任何一處小的缺陷，從而降低整體風險。提高開發(fā)人員安全技能在代碼審計服務(wù)人員與用戶開發(fā)人員的交互過程中，可提升開發(fā)人員的技能。 另外，通過的代碼審計報告，能為用戶開發(fā)人員提供安全問題的解決方案， 完善代碼安全開發(fā)規(guī)范。

代碼審計的應(yīng)用

源代碼作為企業(yè)核心商業(yè)，受到了高度重視和保護。然而由于其自身存在的安全缺陷、軟件缺乏安全設(shè)計、不良的編程習慣等因素，使得注入、敏感信息泄露、命令執(zhí)行等風險漏洞頻頻發(fā)生，給金融行業(yè)造成重大損失。因此，對源代碼進行安全審計、提前發(fā)現(xiàn)系統(tǒng)漏洞、找出應(yīng)用系統(tǒng)潛在風險、給出相應(yīng)安全報告和修復(fù)方法成為提升用戶應(yīng)用系統(tǒng)安全性、保障軟件源代碼、設(shè)計、開發(fā)和應(yīng)用的重要手段。

多年來持續(xù)深耕金融行業(yè)，始終為廣大金融行業(yè)用戶提供高質(zhì)量的產(chǎn)品和服務(wù)，源代碼安全審計服務(wù)作為專項技術(shù)檢測服務(wù)的重點內(nèi)容，已在諸多金融行業(yè)項目中得到實踐運用，獲得用戶一致認可。

代碼安全審計需要做什么準備工作

      在代碼審計前期準備階段，項目組將根據(jù)業(yè)務(wù)系統(tǒng)的實際情況定制訪談材料，采用文檔審核和訪談方式對業(yè)務(wù)軟件功能、架構(gòu)、運行環(huán)境和編程語言等實際情況進行調(diào)研。了解業(yè)務(wù)系統(tǒng)的開發(fā)環(huán)境、架構(gòu)、安全現(xiàn)狀以及運行環(huán)境等可能對業(yè)務(wù)系統(tǒng)安全性產(chǎn)生影響的各種因素。同時會準備代碼審計工具、務(wù)系統(tǒng)測試系統(tǒng)等環(huán)境，為代碼審查工作的開展提供必要條件。