web源代碼存放系統(tǒng)-web源代碼存放-多面魔方技術(shù)服務(wù)公司

什么是代碼審計？常見的自動化代碼審計工具有哪些？??

自從人類發(fā)明了工具開始，人類就在不斷為探索如何更方便快捷的做任何事情，在科技發(fā)展的過程中，人類不斷地試錯，不斷地思考，于是才有了現(xiàn)代偉大的科技時代。在領(lǐng)域里，web源代碼存放方案，每個研究人員在研究的過程中，也同樣的不斷地探索著如何能夠自動化的解決各個領(lǐng)域的問題。其中自動化代碼審計就是自動化繞不過去的坎。

這一次我們就一起聊聊自動化代碼審計的發(fā)展史，也順便聊聊如何完成一個自動化靜態(tài)代碼審計的關(guān)鍵。自動化代碼審計在聊自動化代碼審計工具之前，首先我們必須要清楚兩個概念，漏報率和誤報率。

- 漏報率是指沒有發(fā)現(xiàn)的漏洞/Bug

- 誤報率是指發(fā)現(xiàn)了錯誤的漏洞/Bug

在評價下面的所有自動化代碼審計工具/思路/概念時，所有的評價標(biāo)準(zhǔn)都離不開這兩個詞，如何這兩點或是其中之一也正是自動化代碼審計發(fā)展的關(guān)鍵點。

我們可以簡單的把自動化代碼審計（這里我們討論的是白盒）分為兩類，一類是動態(tài)代碼審計工具，web源代碼存放工具，另一類是靜態(tài)代碼審計工具。

手工代碼審計的優(yōu)缺點

優(yōu)點

? 能夠深入研究代碼路徑，檢查設(shè)計和體系結(jié)構(gòu)中的邏輯錯誤和缺陷，大多數(shù)自動化工具都無法找到這些錯誤和缺陷

? 與一些自動化工具相比，手動檢測授權(quán)、身份驗證和數(shù)據(jù)驗證等問題的效果更好

? 對于值的應(yīng)用程序，總是有額外的利用空間(需要經(jīng)過培訓(xùn)的)

? 查看其他人的代碼是共享代碼和AppSec知識的好方法

缺點

? 要求精通應(yīng)用程序中使用的語言和框架，并需要對性有深入的理解

? 不同的評審人員將生成不同的報告，從而導(dǎo)致評審人員之間的結(jié)果不一致——盡管同行評審可以是一個修復(fù)方法

? 測試和編寫報告是及時的，并且經(jīng)常需要開發(fā)人員參加有時很長時間的訪談會議，以便為審查人員提供上下文，這消耗了開發(fā)人員的時間和資源

? 對代碼行數(shù)超過10-15k的應(yīng)用程序的手動審查于針對高風(fēng)險功能

銀行應(yīng)用代碼審計方案

銀行是網(wǎng)絡(luò)攻擊的主要目標(biāo)，企業(yè)也將信息作為其的關(guān)注點之一。近年來，銀行系統(tǒng)的事件不絕于耳。導(dǎo)致這些攻擊事件的主要根源是由于應(yīng)用程序自身的漏洞，web源代碼存放系統(tǒng)，因此保障應(yīng)用成了當(dāng)前銀行業(yè)信息的工作重點。

銀行面臨的應(yīng)用問題主要有以下幾個方面：

1、 應(yīng)用數(shù)量龐大，實現(xiàn)全部測試并實時監(jiān)控的難度很大。

要想實現(xiàn)對所有的應(yīng)用進(jìn)行詳盡的測試，并在其版本更新時立即進(jìn)行回歸測試，web源代碼存放，無論是人工測試還是利用傳統(tǒng)滲透測試工具及靜態(tài)代碼掃描工具都無法很好的達(dá)到目的。人工的方式太耗費人力。滲透測試工具依賴于人，且對于很多測試路徑無法達(dá)到。靜態(tài)工具誤報率高，掃描的效率低下。

2、 為了快速應(yīng)對需求變更，金融行業(yè)軟件大量使用敏捷開發(fā)的模型，這使得代碼審核的工作量加大。

敏捷開發(fā)的模型的特點是快速迭代，頻繁的版本發(fā)布加大的代碼審核的工作量，人工審核的方式已無法全部覆蓋到。

3、 有大量項目是外包開發(fā)，其質(zhì)量無法把控。

外包團(tuán)隊往往只注重對功能需求的完成，而不太顧及代碼質(zhì)量與問題。 企業(yè)沒有很好的方法在過程中加強(qiáng)質(zhì)理的管理。

對外包團(tuán)開發(fā)的代碼進(jìn)行審計是銀行保障應(yīng)用的關(guān)鍵活動。SECZONE經(jīng)過多年的服務(wù)的積累，對于銀行外包代碼審計形成了包括培訓(xùn)、S-SDLC流程、IAST技術(shù)組成的成熟解決方案。

1、應(yīng)用培訓(xùn)

2、S-SDLC軟件開發(fā)生命周期流程

3、利用IAST工具進(jìn)行源碼審核

4、兼容敏捷開發(fā)模式

5、實現(xiàn)對外包團(tuán)隊開發(fā)質(zhì)量的控制