代码审计服务介绍

      应用系统软件自身的安全性是确保应用系统安全稳定运行的关键。但通常应用系统在开发的过程中会引入安全缺陷而造成应用系统自身存在安全漏洞，如被外部威胁所利用会产生安全风险，造成不良的安全影响。需要通过采用应用系统源代码安全审计的方式，来减少和降低开发过程中的安全缺陷和安全漏洞。

      因此，通过开展应用系统源代码审计工作，减少客户应用系统的安全漏洞和缺陷隐患，有效降低客户应用系统安全风险，保障应用系统安全稳定运行。

代码安全审计的两种方式

1、人工审计

      人工审核是代码审核的关键因素，也是准确和的解决方案。人工审核依托于技术人员的安全编码经验、渗透测试经验以及新的知识库，能够有效的发现深层次的高风险安全漏洞，包括业务逻辑安全漏洞。在网上待测系统重要的业务场景中，很多高风险的安全漏洞都隐藏的比较深，只有通过经验丰富的安全人员进行人工审计才能发现相关的问题。同时，在人工审核的的过程中实施人员在集中发现安全缺陷的同时也会关注目标系统的合规性问题。通过对目标系统的源代码进行人工审核，可以有效的降低安全风险，提高系统安全性、健壮性和合规性。在开发阶段就发现安全问题，而不是将安全问题带入生产系统后才被发现并解决，课余有效的控制系统的研发成本。

2、自动化审计

      采用自动化的代码审计工具辅助审核，依赖于自动化工具的强大的安全编码规则集。能够快速的对常规的安全漏洞进行发现和定位，有助于提高代码审计的工作效率和覆盖度，是一种常用的辅助手段。

自动化代码审计工具的优缺点

优点:

? 检测容易出现的漏洞和数百个其他漏洞，包括SQL注入和跨站点脚本

? 在敏捷和持续集成环境中，快速和大量代码测试的能力是至关重要的

? 能够按需调度和运行

? 能够添加包括业务逻辑在内的非安全性检查

? 能够根据组织的需要扩展自动化测试

? 根据工具的选择，可以根据组织的需要，特别是特定的合规性规范和值的应用程序，定制自动化的源代码评审工具

? 可以帮助提高开发人员的安全意识，并提供一种更好地培训使用该工具的开发人员的方法

缺点：

? 不允许进行微调和自定义的工具可能会产生误报和误报

? 覆盖范围和广度实际上取决于你选择的工具以及它所涵盖的语言、框架和标准

? 为那些不熟悉静态代码检查器的人提供了一个学习曲线

? 尽管有强大的通用开发语言自动审查开源工具，但它们并不总是符合预算计划的

手工代码审计的优缺点

优点

? 能够深入研究代码路径，检查设计和体系结构中的逻辑错误和缺陷，大多数自动化工具都无法找到这些错误和缺陷

? 与一些自动化工具相比，手动检测授权、身份验证和数据验证等安全问题的效果更好

? 对于值的应用程序，总是有额外的利用空间(需要经过培训的)

? 查看其他人的代码是共享安全代码和AppSec知识的好方法

缺点

? 要求精通应用程序中使用的语言和框架，并需要对安全性有深入的理解

? 不同的评审人员将生成不同的报告，从而导致评审人员之间的结果不一致——尽管同行评审可以是一个修复方法

? 测试和编写报告是及时的，并且经常需要开发人员参加有时很长时间的访谈会议，以便为审查人员提供上下文，这消耗了开发人员的时间和资源

? 对代码行数超过10-15k的应用程序的手动审查于针对高风险功能