信息系统的设计和开发与代码息息相关,包括使用过程中系统功能点的更新都需要更改代码进行改动。保证代码安全性的有效方法是对其进行代码审计,代码审计能够对整个信息系统的所有源代码进行检查,从整套源代码切入最终明至某个威胁点并加以验证,以此明确整体系统中的安全隐患点。
一、什么是代码审计?
代码审计通过自动化分析工具和人工审查的组合审计方式,对程序源代码进行检查分析,发现其中的错误信息、安全隐患和规范性缺陷问题,以及针对由这些问题引发的安全漏洞,提供代码修复措施和建议。
二、应用代码关注漏洞
三、可以审计哪些语言
代码审计可以对多种常见代码语言进行审计,包括 Java、PHP、.NET、JSP 等。
四、代码审计如何收费
代码审计根据代码行数进行收费。代码审计类型分为整体源代码审计和功能点人工源代码审计,两者区别在于对整体代码和个别代码审计,结合客户自身情况来开展审计工作。
五、代码审计频率有什么建议
定期且间隔时间切勿过长,但还是根据客户自身情况来决定。
(1)单次代码审计。单次代码审计是指一次性为客户的被审计系统开展代码审计服务,服务完成后提交源代码审计报告并指导客户针对安全漏进行修复。单次服务仅能够发现目前源代码中可能存在的各种安全问题,对于系统后续开发产生的安全问题无能为力。
进行单次代码审计的客户有以下几种情况:
1)信息系统上线前进行代码审计,确保系统安全后,后续不再进行代码审计工作;
2)客户为甲方开发系统,为证明系统安全无问题交付,而进行的单次代码审计,后续甲方不再进行代码审计工作;
3)为应付安全检查而进行的单次代码审计工作,后续不再进行安全检测工作;
4)等保测评要求项中要求开展代码审计工作,通过等保后,后续不再进行代码审计工作;
......
(2)年度代码审计。年度代码审计是指以一定的时长(可以是半年、年等)为单位向客户开展有限次数(每月/双月/季度/半年)的代码审计工作,每次源代码审计均会提供详细的源代码审计报告。年度服务能够持续跟进系统的安全情况,在服务期限内最大限度保证系统的安全。
六、开展代码审计最佳阶段
信息系统在接入互联网之前、交付信息系统甲方验收前、更改系统功能点后、信息系统使用中等等都是进行代码审计的最佳时间。
七、代码审计交付物
代码审计工作结束后审计人员将出示一份代码审计报告。在报告中,审计人员将会根据审计结果针对代码中的每个安全弱点进行详细描述,描述内容至少包括安全弱点所在的代码页名、代码行数、问题代码片段以及弱点可能导致的安全问题等。
除此之外,审计人员还将针对各种具体的安全弱点提供解决方案和相关的安全建议,为管理/开发人员的维护和问题修复工作提供参考。
领取专属 10元无门槛券
私享最新 技术干货