商業(yè)應(yīng)用代碼審計(jì)方案-應(yīng)用代碼審計(jì)-多面魔方技術(shù)服務(wù)公司

代碼存在的問題

? ? ? 現(xiàn)在軟件功能都在朝著越來越復(fù)雜的方向變化，同時(shí)導(dǎo)致軟件漏洞逐漸的增加。軟件在設(shè)計(jì)開發(fā)過程中，存在著軟件開發(fā)周期短，工作量大，沒有涉及到或無(wú)暇顧及代碼問題，甚至在軟件設(shè)計(jì)前期就缺乏對(duì)代碼的設(shè)計(jì)，應(yīng)用代碼審計(jì)，同時(shí)也體現(xiàn)出我們的軟件開發(fā)人員自身就缺乏編程的經(jīng)驗(yàn)。在現(xiàn)在的互聯(lián)網(wǎng)環(huán)境下，代碼也面臨著更多的挑戰(zhàn)。

代碼審計(jì)的語(yǔ)言種類？

我們的代碼審計(jì)對(duì)象包括并不限于對(duì)Windows和Linux系統(tǒng)環(huán)境下的以下語(yǔ)言進(jìn)行審核：java、C、C#、ASP、PHP、JSP、.NET。內(nèi)容包括：

1.前后臺(tái)分離的運(yùn)行架構(gòu)

2.WEB服務(wù)的目錄權(quán)限分類

3.認(rèn)證會(huì)話與應(yīng)用平臺(tái)的結(jié)合

4.數(shù)據(jù)庫(kù)的配置規(guī)范

5.SQL語(yǔ)句的編寫規(guī)范

6.WEB服務(wù)的權(quán)限配置

7.對(duì)抗爬蟲引擎的處理措施

代碼審計(jì)的兩種方式

1、人工審計(jì)

? ? ? 人工審核是代碼審核的關(guān)鍵因素，也是準(zhǔn)確和的解決方案。人工審核依托于技術(shù)人員的編碼經(jīng)驗(yàn)、滲透測(cè)試經(jīng)驗(yàn)以及新的知識(shí)庫(kù)，能夠有效的發(fā)現(xiàn)深層次的高風(fēng)險(xiǎn)漏洞，包括業(yè)務(wù)邏輯漏洞。在網(wǎng)上待測(cè)系統(tǒng)重要的業(yè)務(wù)場(chǎng)景中，很多高風(fēng)險(xiǎn)的漏洞都隱藏的比較深，只有通過經(jīng)驗(yàn)豐富的人員進(jìn)行人工審計(jì)才能發(fā)現(xiàn)相關(guān)的問題。同時(shí)，在人工審核的的過程中實(shí)施人員在集中發(fā)現(xiàn)缺陷的同時(shí)也會(huì)關(guān)注目標(biāo)系統(tǒng)的合規(guī)性問題。通過對(duì)目標(biāo)系統(tǒng)的源代碼進(jìn)行人工審核，可以有效的降低風(fēng)險(xiǎn)，商業(yè)應(yīng)用代碼審計(jì)方案，提高系統(tǒng)性、健壯性和合規(guī)性。在開發(fā)階段就發(fā)現(xiàn)問題，商業(yè)應(yīng)用代碼審計(jì)報(bào)告，而不是將問題帶入生產(chǎn)系統(tǒng)后才被發(fā)現(xiàn)并解決，課余有效的控制系統(tǒng)的研發(fā)成本。

2、自動(dòng)化審計(jì)

? ? ? 采用自動(dòng)化的代碼審計(jì)工具輔助審核，依賴于自動(dòng)化工具的強(qiáng)大的編碼規(guī)則集。能夠快速的對(duì)常規(guī)的漏洞進(jìn)行發(fā)現(xiàn)和定位，有助于提高代碼審計(jì)的工作效率和覆蓋度，是一種常用的輔助手段。