CNAS软件测评公司

解决方案

scheme

全国各行业CNAS测评报告、CMA测评报告、等保测评报告,可用于项目验收、企业退税、投标。

您的位置:首页 / 解决方案 / 互联网 / 详情

代码审计测评报告-软件测评报告

代码审计测评报告

摘要:代码审计(CodeAudit) 就是根据了解到的程序功能和关键业务,针对程序源代码逐条进行检查和分析,找出源代码中可能引发的常见安全漏洞和业务逻辑问题的缺陷,并提供代码修改建议或解决方案。

微信客服:1174758060

代码审计测评报告

代码审计介绍

软件代码审计是在一个编程中对源代码旨在发现错误、安全漏洞或违反编程约定的项目。它是防御性程序设计范例,它试图在软件发布之前减少错误。C、C++、php源代码是最常见的审计代码,因为许多高级语言,如Python,具有较少的潜在易受攻击的函数(例如,不检查边界的函数)——维基百科

代码审计(CodeAudit) 就是根据了解到的程序功能和关键业务,针对程序源代码逐条进行检查和分析,找出源代码中可能引发的常见安全漏洞和业务逻辑问题的缺陷,并提供代码修改建议或解决方案。

代码审计

代码审计技术

代码检查是代码审计工作中最常用的技术手段,实际应用中,采用“自动分析+人工验证”的方式进行。通常检查项目包括:系统所用开源框架、源代码设计、错误处理不当、直接对象引用、资源滥用、API滥用、后门代码发现等。

通常能够识别如下代码中的风险点:

跨站脚本漏洞、跨站请求伪装漏洞、SQL注入漏洞、命令执行漏洞、日志伪造漏洞、参数篡改、密码明文存储、配置文件缺陷、路径操作错误、资源管理、不安全的Ajax调用、系统信息泄露、调试程序残留、第三方控件漏洞、文件上传漏洞、远程命令执行、远程代码执行、越权下载、授权绕过漏洞。

环境部署

针对于源代码审计工作环境的部署,其实如果是以服务的方式为客户的代码进行审计,审计的环境一般都会相对复杂,会面临几种情况: 

1. 最理想的环境,客户提供代码同时有对应的测试环境,这样的话就可以黑盒+白盒进行审计,可以提高审计的效率和覆盖度。

2. 只提供项目源代码,需要自己梳理整个项目源码的架构,通读所有关键代码,相对时间成本比较大,但是可以彻底了解整个项目源代码并且挖掘出高质量漏洞。

3. 只提供源代码片段,这种情况首先需要跟客户沟通是否可以提供完整项目源代码,否则是在一定程度影响源代码审计的完整性,因为部分功能代码片段可能会找不到调用的接口函数,无法追踪业务逻辑代码。

所以客户的代码审计服务基本上没有搭建环境的情况,因为他们不会提供数据库,想跑也跑不起来。

代码审计常用工具

代码审计工具

代码审计前期准备

1.需要和客户确认最新源代码版本

2.需要客户准备入场后代码审计环境,是我们自备电脑审计还是在客户专用的电脑上做审计

3.如果是专用的电脑,需要在电脑上安装office或者wps、代码编辑器及IDE工具,同时部署代码审计工具

4.需要提供被审计系统相关需求文档及设计文档,帮助审计人员了解业务,可以深入业务进行审计

5.需要跟开发团队提前打好招呼,为审计人员讲解代码结构,可以方便审计人员迅速进入审计工作中

代码审计流程

1.客户提供源代码,签订《保密协议》

2.源代码部署完成后,通过专业的代码审计工具对源代码进行自动化审计

3.根据扫描的源代码结果对暴露的常规漏洞和逻辑漏洞进行人工复核,删除误报漏洞

4.提交代码片段和代码审计报告

代码审计流程图


测试周期

测评周期一般15个工作日左右,具体看代码数量和项目规模,有所增减。如果代码整改不及时或牵涉到第三方程序,时间不好说。测评周期最不确定的因素就是代码整改,整改的快自然结束的快,所以用户单位想早点结束的话就得把代码整改抓紧落实完成。

提供的材料

《软件委托测试申请表》

《源代码》

任务书、合同书、申报材料等

约束条件

签订《软件测试委托合同》、《保密协议》

产出物

《软件测试验收报告》

服务区域

北京、上海、天津、重庆、辽宁省、黑龙江省、吉林省、广东省、海南省、福建省、湖南省、四川省、重庆市、贵州省、云南省、广西省、湖北省、河南省、山东省、甘肃省、新疆省、西藏自治区、河北省、陕西省、山西省、浙江省、江苏省等地区等保测评报告。



上一主题: 性能测试CNAS资质软件验收测试报告

下一主题: 暂无


欢迎咨询,谢谢

复制成功
1174758060
添加微信好友,咨询CNAS软件测评

我知道了