企业视频展播,请点击播放视频作者:多面魔方(北京)技术服务有限公司
金融行业用户源代码安全审计服务
案例背景
某银行内部软件多数由外包公司开发,存在开发人员水平参次不齐,安全意识薄弱,软件安全方面投入不足等问题,以及该银行相对单一的安全测试方法和管理人员缺乏对软件安全等级的验证能力,因此在程序源码层面依旧存在大量安全问题。
针对用户需求,通过源代码安全审计
jsp源代码安全审计公司
企业视频展播,请点击播放
视频作者:多面魔方(北京)技术服务有限公司
金融行业用户源代码安全审计服务
案例背景
某银行内部软件多数由外包公司开发,存在开发人员水平参次不齐,安全意识薄弱,软件安全方面投入不足等问题,以及该银行相对单一的安全测试方法和管理人员缺乏对软件安全等级的验证能力,因此在程序源码层面依旧存在大量安全问题。
针对用户需求,通过源代码安全审计服务,挖掘应用系统隐蔽漏洞,并提出解决方案,以保证用户系统安全。
服务流程
对用户实施的源代码安全审计服务流程分为准备阶段、熟悉阶段、分析审核阶段和总结报告阶段。
准备阶段
签署保密协议、调研基本情况、熟悉代码和搭建审计环境。
熟悉阶段
熟悉系统整体架构和各个业务流程等。
分析审核阶段
工具辅助检测、人工分析、静态分析、动态分析、综合分析和人工验证。
总结报告阶段
发现并确认风险后,对风险进行分析和编写代码审计报告,包括漏洞名称、漏洞级别、漏洞数量、问题文件、审计过程、风险分析和修复建议。
怎么做代码安全审计
首先客户提出代码安全审计要求,内容包括测试范围和时间,在提交《代码审计申请》与源代码时,附带《免责声明》一起给客户,客户收到申请与免责声明之后,确认审计范围与时间无误之后。客户提交给项目接口人,接口人进行工作量台账记录,然后由项目负责人进行工作安排,开始编写代码审计方案,经过客户方面认可代码审计方案后,开始实施代码审计工作,在审计过程中通过代码审计设备进行详细审计记录,通过信息收集、漏洞分析和成果整理编写出《代码审计报告》,并提交给客户,并协助完成漏洞修复。
在漏洞修复工作之后,项目组进行代码审计复测,并输出《代码审计复测报告》,在客户方确认之后,单个系统代码审计工作完成。
代码安全审计需要做什么准备工作
在代码审计前期准备阶段,项目组将根据业务系统的实际情况定制访谈材料,采用文档审核和访谈方式对业务软件功能、架构、运行环境和编程语言等实际情况进行调研。了解业务系统的开发环境、架构、安全现状以及运行环境等可能对业务系统安全性产生影响的各种因素。同时会准备代码审计工具、务系统测试系统等环境,为代码审查工作的开展提供必要条件。
(作者: 来源:)
