代码审计服务

服务介绍

      代码审计是指检查源代码中的安全缺陷，检查程序源代码是否存在安全隐患，或者编码不规范的地方。通过自动化工具和人工审查的方式，对程序源代码逐条进行检查和分析，从根源上分析由源代码缺陷引发的安全漏洞，并提供代码修订措施和建议，指导开发人员正确修复程序缺陷。

      为了提高系统的可靠性和安全性，减少潜在的风险，以下几种情况建议做代码审计：

      1.即将上线的新系统平台；

      2.存在大量用户访问、高可用、高并发请求的网站；

      3.存在用户资料等敏感机密信息的信息系统；

      4.存在业务逻辑问题的信息系统。

服务意义

1、系统所需

      新上线系统：新上线系统如未通过系统的安全性评估可能存在未知漏洞，上线后容易被黑客利用。代码审计可以充分在开发测试阶段进行源代码检查，提高代码质量、从源头杜绝安全漏洞，避免系统刚上线就遇到重大攻击。

     已运行系统：代码审计可先于黑客发现系统的安全问题、安全风险及安全编码问题。通过提前排除应用系统的安全隐患、部署防御措施，大幅提升现有系统的安全性。

2、客户所得

      明确安全隐患点：可以从源码角度切入，明确哪部份代码可能含有可利用的脆弱性。

      提高安全意识与技能：通过专业的代码审计报告以及在服务过程中的交互沟通，能为开发人员提供安全问题的建议解决方案，强化安全意识，提高安全开发技能，协助完善代码安全开发规范，降低整体风险。

服务步骤

      主要分为四个阶段，包括代码审计前期准备阶段、实施阶段、复测阶段以及项目交付。

1. 准备阶段

      前期与客户技术人员沟通，开展基本情况调研，确认代码审计范围、审计方式、审计要求和时间等内容。

2. 实施阶段

      使用自动化代码审计工具进行代码扫描，技术人员人工审计，对程序源代码逐条进行检查和分析；整理审计结果，输出初测报告。

3. 复测阶段 

      提供系统整改修复建议；经客户整改或加固后，验证修复方案和修复代码的有效性。

4. 项目交付 

      根据初次代码审计结果和复测结果，编制《代码审计报告》与客户确认，完成交付。

服务流程