web開發(fā)代碼審計(jì)方案-多面魔方技術(shù)有限公司

代碼審計(jì)報(bào)告主要包含哪些內(nèi)容

對于審計(jì)發(fā)現(xiàn)的問題，我們會(huì)對發(fā)現(xiàn)的問題進(jìn)行相關(guān)分析并出具報(bào)告。針對具體的漏洞，報(bào)告中主要會(huì)包含以下內(nèi)容：

1、指出該漏洞可能對目標(biāo)系統(tǒng)產(chǎn)生的影響

2、對致漏洞的具體代碼進(jìn)行定位，分析形成漏洞的具體原因

3、對漏洞利用方式進(jìn)行闡述，可以在客戶提供的測試系統(tǒng)中進(jìn)行驗(yàn)證測試

4、對漏洞的可利用行和風(fēng)險(xiǎn)等級進(jìn)行評定

5、給出修復(fù)該漏洞的正確方案

軟件開發(fā)所面臨的問題

1、代碼與架構(gòu)復(fù)雜

幾十萬、幾百萬行代碼、一個(gè)業(yè)務(wù)分幾十個(gè)模塊幾十個(gè)代碼倉庫家常便飯；開發(fā)語言多種多樣，各種自研框架、流行框架應(yīng)接不暇、架構(gòu)還非常復(fù)雜。

以上兩個(gè)問題對審計(jì)人員、SAST工具來說無疑都是很大的挑戰(zhàn)。

2、工具準(zhǔn)召率

沒有工具是所謂銀彈，規(guī)則、插件準(zhǔn)召率很低，需要根據(jù)開發(fā)語言、編碼風(fēng)格自定義；工具對邏輯漏洞的無力，與業(yè)務(wù)邏輯漏洞大量曝光的漏洞態(tài)勢之間的矛盾，工具、系統(tǒng)的運(yùn)營也需要專門人力投入，從而不斷提高工具的準(zhǔn)召率。

3、心態(tài)

審計(jì)人員出于KPI的考慮，想著既然花了很長時(shí)間做了代碼審計(jì)，web開發(fā)代碼審計(jì)方案，為了體現(xiàn)工作量就必須說點(diǎn)什么，如果系統(tǒng)本來沒有問題卻在那挑刺，會(huì)更加不信任你。對于甲方代碼審計(jì)人員，審計(jì)任務(wù)多、代碼龐大是常態(tài)，如果不考慮后果的只提高速度，這種方式會(huì)遺漏掉細(xì)節(jié)，導(dǎo)致不能的審查。

自動(dòng)化代碼審計(jì)工具的優(yōu)缺點(diǎn)

優(yōu)點(diǎn):

? 檢測容易出現(xiàn)的漏洞和數(shù)百個(gè)其他漏洞，包括SQL注入和跨站點(diǎn)腳本

? 在敏捷和持續(xù)集成環(huán)境中，web開發(fā)代碼審計(jì)報(bào)價(jià)，快速和大量代碼測試的能力是至關(guān)重要的

? 能夠按需調(diào)度和運(yùn)行

? 能夠添加包括業(yè)務(wù)邏輯在內(nèi)的非性檢查

? 能夠根據(jù)組織的需要擴(kuò)展自動(dòng)化測試

? 根據(jù)工具的選擇，web開發(fā)代碼審計(jì)，可以根據(jù)組織的需要，特別是特定的合規(guī)性規(guī)范和值的應(yīng)用程序，web開發(fā)代碼審計(jì)報(bào)告，定制自動(dòng)化的源代碼評審工具

? 可以幫助提高開發(fā)人員的意識，并提供一種更好地培訓(xùn)使用該工具的開發(fā)人員的方法

缺點(diǎn)：

? 不允許進(jìn)行微調(diào)和自定義的工具可能會(huì)產(chǎn)生誤報(bào)和誤報(bào)

? 覆蓋范圍和廣度實(shí)際上取決于你選擇的工具以及它所涵蓋的語言、框架和標(biāo)準(zhǔn)

? 為那些不熟悉靜態(tài)代碼檢查器的人提供了一個(gè)學(xué)習(xí)曲線

? 盡管有強(qiáng)大的通用開發(fā)語言自動(dòng)審查開源工具，但它們并不總是符合預(yù)算計(jì)劃的