國(guó)內(nèi)源代碼安全報(bào)告-國(guó)內(nèi)源代碼安全-多面魔方技術(shù)有限公司

代碼審計(jì)服務(wù)流程

1、準(zhǔn)備階段

? ? ? 在代碼審計(jì)前期準(zhǔn)備階段，項(xiàng)目組將對(duì)業(yè)務(wù)軟件功能、架構(gòu)、運(yùn)行環(huán)境和編程語(yǔ)言等實(shí)際情況進(jìn)行調(diào)研，為代碼審查工作的開(kāi)展提供必要條件。

2、審核階段

? ? ? 前期準(zhǔn)備工作完成后將進(jìn)入代碼審核階段，主要采用人工審核為主和自動(dòng)化審計(jì)工具輔助的方式進(jìn)行安全審計(jì)，通過(guò)審計(jì)發(fā)現(xiàn)安全缺陷并定位到具體的代碼給出整改建議。

3、制作報(bào)告

? ? ? 對(duì)于審計(jì)發(fā)現(xiàn)的問(wèn)題，我們會(huì)對(duì)發(fā)現(xiàn)的問(wèn)題進(jìn)行相關(guān)分析，提出整改建議終形成書(shū)面報(bào)告，國(guó)內(nèi)源代碼安全報(bào)告，若有需要可組織會(huì)議進(jìn)行匯報(bào)。

4、安全整改

? ? ? 我們會(huì)協(xié)助開(kāi)發(fā)人員整改安全漏洞并復(fù)查漏洞的整改情況，國(guó)內(nèi)源代碼安全，確保產(chǎn)品上線后安全穩(wěn)定的運(yùn)行。

白盒代碼審計(jì)系統(tǒng)建設(shè)實(shí)踐

靜態(tài)代碼分析是指在不實(shí)際執(zhí)行程序的情況下，對(duì)代碼語(yǔ)義和行為進(jìn)行分析，由此找出程序中由于錯(cuò)誤的編碼導(dǎo)致異常的程序語(yǔ)義或未定義的行為。通俗的說(shuō)，靜態(tài)代碼分析就是在代碼編寫(xiě)的同時(shí)就能找出代碼的編碼錯(cuò)誤。你不需要等待所有代碼編寫(xiě)完畢，也不需要構(gòu)建運(yùn)行環(huán)境，編寫(xiě)測(cè)試用例。它能在軟件開(kāi)發(fā)流程早期就發(fā)現(xiàn)代碼中的各種問(wèn)題，從而提高開(kāi)發(fā)效率和軟件質(zhì)量。

靜態(tài)AST（SAST）技術(shù)通常在編程和/或測(cè)試軟件生命周期（SLC）階段分析應(yīng)用程序的源代碼，字節(jié)代碼或二進(jìn)制代碼以查找安全漏洞。

商業(yè)產(chǎn)品分析Coverity、Fortify、CheckMarx 作為白盒靜態(tài)掃描領(lǐng)域的產(chǎn)品，擁有極其深厚的技術(shù)積累以及的產(chǎn)品技術(shù)團(tuán)隊(duì)。其產(chǎn)品能力都為業(yè)界。筆者曾經(jīng)和Coverity的售前及售后團(tuán)隊(duì)有過(guò)一定的交流，國(guó)內(nèi)源代碼安全系統(tǒng)，可以總結(jié)以上商業(yè)產(chǎn)品的優(yōu)點(diǎn)及缺點(diǎn)優(yōu)點(diǎn)深厚的技術(shù)積累，產(chǎn)品能力強(qiáng)大，在SAST領(lǐng)域內(nèi)少有不支持掃描的漏洞類(lèi)型

售后團(tuán)隊(duì)，能較為理解用戶需求缺點(diǎn)定制化需求支持困難，引擎對(duì)用戶不透明，需求提交給廠商響應(yīng)時(shí)長(zhǎng)為 Month ++

規(guī)則學(xué)習(xí)成本高，規(guī)則學(xué)習(xí)文檔不完善，自定義規(guī)則困難

廠商以大并發(fā)量授權(quán)l(xiāng)icense，彈性擴(kuò)容能力差，國(guó)內(nèi)源代碼安全報(bào)價(jià)，存在成本浪費(fèi)

漏洞模型難以適配每個(gè)用戶自己內(nèi)部的漏洞模型，難以準(zhǔn)確處理誤報(bào)、漏洞修復(fù)復(fù)查等業(yè)務(wù)需求

融入企業(yè)自身的CI/CD流程困難，數(shù)據(jù)模型需要企業(yè)自己轉(zhuǎn)換

代碼審計(jì)——客戶收益

明確安全隱患點(diǎn)代碼審計(jì)能夠?qū)φ麄€(gè)信息系統(tǒng)的所有源代碼進(jìn)行檢查，從整套源代碼切入終明至某個(gè)威脅點(diǎn)并加以驗(yàn)證，以此明確整體系統(tǒng)中的安全隱患點(diǎn)。提高安全意識(shí)任何的隱患在代碼審計(jì)服務(wù)中都可能造成“千里之堤潰于蟻穴” 的效果，因此代碼審計(jì)服務(wù)可有效督促管理人員任何一處小的缺陷，從而降低整體風(fēng)險(xiǎn)。提高開(kāi)發(fā)人員安全技能在代碼審計(jì)服務(wù)人員與用戶開(kāi)發(fā)人員的交互過(guò)程中，可提升開(kāi)發(fā)人員的技能。 另外，通過(guò)的代碼審計(jì)報(bào)告，能為用戶開(kāi)發(fā)人員提供安全問(wèn)題的解決方案， 完善代碼安全開(kāi)發(fā)規(guī)范。