商業(yè)源代碼安全檢測報告-多面魔方公司-商業(yè)源代碼安全檢測

代碼安全審計的對象和內(nèi)容

? ? ? 源代碼安全檢測主要對象包括并不限于對Windows和Linux系統(tǒng)環(huán)境下的語言進(jìn)行審核，例如C、C++、OC、C#、java、PHP、JSP、ASPX、javaScript、Python、Cobol、Go等進(jìn)行安全審計測試。

源代碼安全檢測的主要內(nèi)容包括但不限于：

1、WEB應(yīng)用框架安全性；

2、WEB應(yīng)用程序的權(quán)限架構(gòu)；

3、WEB應(yīng)用通信安全；

4、數(shù)據(jù)庫的配置規(guī)范；

5、OWASP WEB 漏洞；

5、SQL語句的編寫規(guī)范

什么場景下需要做代碼安全審計

1、合規(guī)驅(qū)動

新等?！白孕熊浖_發(fā)”及“外包軟件開發(fā)”中均有對代碼安全的要求；

2、軟件研發(fā)自身的安全隱患

普通軟件開發(fā)公司的缺陷密度為4～40個缺陷；

高水平的軟件公司的缺陷密度為2～4個缺陷；

美國NASA的軟件缺陷密度可達(dá)到0.1個缺陷；

3、安全事件

源代碼缺陷導(dǎo)致的安全事件，商業(yè)源代碼安全檢測，例如sql注入、跨站攻擊等，商業(yè)源代碼安全檢測報告，導(dǎo)致信息泄露、脫庫、提權(quán)等。

手工代碼審計的優(yōu)缺點(diǎn)

優(yōu)點(diǎn)

? 能夠深入研究代碼路徑，檢查設(shè)計和體系結(jié)構(gòu)中的邏輯錯誤和缺陷，大多數(shù)自動化工具都無法找到這些錯誤和缺陷

? 與一些自動化工具相比，手動檢測授權(quán)、身份驗(yàn)證和數(shù)據(jù)驗(yàn)證等安全問題的效果更好

? 對于值的應(yīng)用程序，總是有額外的利用空間(需要經(jīng)過培訓(xùn)的)

? 查看其他人的代碼是共享安全代碼和AppSec知識的好方法

缺點(diǎn)

? 要求精通應(yīng)用程序中使用的語言和框架，商業(yè)源代碼安全檢測費(fèi)用，并需要對安全性有深入的理解

? 不同的評審人員將生成不同的報告，從而導(dǎo)致評審人員之間的結(jié)果不一致——盡管同行評審可以是一個修復(fù)方法

? 測試和編寫報告是及時的，商業(yè)源代碼安全檢測方案，并且經(jīng)常需要開發(fā)人員參加有時很長時間的訪談會議，以便為審查人員提供上下文，這消耗了開發(fā)人員的時間和資源

? 對代碼行數(shù)超過10-15k的應(yīng)用程序的手動審查于針對高風(fēng)險功能