企业视频展播,请点击播放视频作者:多面魔方(北京)技术服务有限公司
代码审计有什么作用
源代码安全检测是缓解软件安全问题的有效途径,可从源头上大量减少代码注入、跨站脚本等高危安全问题,进而提升信息系统的安全性。根据Gartner统计,在软件代码实现阶段发现并纠正安全问题所花费的成本,比软件交付后通过“上线安全评估”发现问题再进行整改的成本要低50~1000
免费app代码审计案例
企业视频展播,请点击播放
视频作者:多面魔方(北京)技术服务有限公司
代码审计有什么作用
源代码安全检测是缓解软件安全问题的有效途径,可从源头上大量减少代码注入、跨站脚本等高危安全问题,进而提升信息系统的安全性。根据Gartner统计,在软件代码实现阶段发现并纠正安全问题所花费的成本,比软件交付后通过“上线安全评估”发现问题再进行整改的成本要低50~1000倍。越早发现源代码安全问题,其修复成本越低,代码审计可以帮助组织在软件开发过程中“尽早尽快”发现安全问题,有效降低软件修复成本。
代码安全审计需要做什么准备工作
在代码审计前期准备阶段,项目组将根据业务系统的实际情况定制访谈材料,采用文档审核和访谈方式对业务软件功能、架构、运行环境和编程语言等实际情况进行调研。了解业务系统的开发环境、架构、安全现状以及运行环境等可能对业务系统安全性产生影响的各种因素。同时会准备代码审计工具、务系统测试系统等环境,为代码审查工作的开展提供必要条件。
代码安全审计的两种方式
1、人工审计
人工审核是代码审核的关键因素,也是准确和的解决方案。人工审核依托于技术人员的安全编码经验、渗透测试经验以及新的知识库,能够有效的发现深层次的高风险安全漏洞,包括业务逻辑安全漏洞。在网上待测系统重要的业务场景中,很多高风险的安全漏洞都隐藏的比较深,只有通过经验丰富的安全人员进行人工审计才能发现相关的问题。同时,在人工审核的的过程中实施人员在集中发现安全缺陷的同时也会关注目标系统的合规性问题。通过对目标系统的源代码进行人工审核,可以有效的降低安全风险,提高系统安全性、健壮性和合规性。在开发阶段就发现安全问题,而不是将安全问题带入生产系统后才被发现并解决,课余有效的控制系统的研发成本。
2、自动化审计
采用自动化的代码审计工具辅助审核,依赖于自动化工具的强大的安全编码规则集。能够的对常规的安全漏洞进行发现和定位,有助于提高代码审计的工作效率和覆盖度,是一种常用的辅助手段。
(作者: 来源:)
