代码审计测评报告

代码审计介绍

软件代码审计是在一个编程中对源代码旨在发现错误、安全漏洞或违反编程约定的项目。它是防御性程序设计范例，它试图在软件发布之前减少错误。C、C++、php源代码是最常见的审计代码，因为许多高级语言，如Python，具有较少的潜在易受攻击的函数（例如，不检查边界的函数）——维基百科

代码审计(CodeAudit) 就是根据了解到的程序功能和关键业务，针对程序源代码逐条进行检查和分析，找出源代码中可能引发的常见安全漏洞和业务逻辑问题的缺陷，并提供代码修改建议或解决方案。

代码审计技术

代码检查是代码审计工作中最常用的技术手段，实际应用中，采用“自动分析+人工验证”的方式进行。通常检查项目包括:系统所用开源框架、源代码设计、错误处理不当、直接对象引用、资源滥用、API滥用、后门代码发现等。

通常能够识别如下代码中的风险点：

跨站脚本漏洞、跨站请求伪装漏洞、SQL注入漏洞、命令执行漏洞、日志伪造漏洞、参数篡改、密码明文存储、配置文件缺陷、路径操作错误、资源管理、不安全的Ajax调用、系统信息泄露、调试程序残留、第三方控件漏洞、文件上传漏洞、远程命令执行、远程代码执行、越权下载、授权绕过漏洞。

环境部署

针对于源代码审计工作环境的部署，其实如果是以服务的方式为客户的代码进行审计，审计的环境一般都会相对复杂，会面临几种情况： 

1. 最理想的环境，客户提供代码同时有对应的测试环境，这样的话就可以黑盒+白盒进行审计，可以提高审计的效率和覆盖度。

2. 只提供项目源代码，需要自己梳理整个项目源码的架构，通读所有关键代码，相对时间成本比较大，但是可以彻底了解整个项目源代码并且挖掘出高质量漏洞。

3. 只提供源代码片段，这种情况首先需要跟客户沟通是否可以提供完整项目源代码，否则是在一定程度影响源代码审计的完整性，因为部分功能代码片段可能会找不到调用的接口函数，无法追踪业务逻辑代码。

所以客户的代码审计服务基本上没有搭建环境的情况，因为他们不会提供数据库，想跑也跑不起来。

代码审计常用工具

代码审计前期准备

1.需要和客户确认最新源代码版本

2.需要客户准备入场后代码审计环境，是我们自备电脑审计还是在客户专用的电脑上做审计

3.如果是专用的电脑，需要在电脑上安装office或者wps、代码编辑器及IDE工具，同时部署代码审计工具

4.需要提供被审计系统相关需求文档及设计文档，帮助审计人员了解业务，可以深入业务进行审计

5.需要跟开发团队提前打好招呼，为审计人员讲解代码结构，可以方便审计人员迅速进入审计工作中

代码审计流程

1.客户提供源代码，签订《保密协议》

2.源代码部署完成后，通过专业的代码审计工具对源代码进行自动化审计

3.根据扫描的源代码结果对暴露的常规漏洞和逻辑漏洞进行人工复核，删除误报漏洞

4.提交代码片段和代码审计报告

测试周期

测评周期一般15个工作日左右，具体看代码数量和项目规模，有所增减。如果代码整改不及时或牵涉到第三方程序，时间不好说。测评周期最不确定的因素就是代码整改，整改的快自然结束的快，所以用户单位想早点结束的话就得把代码整改抓紧落实完成。

提供的材料

《软件委托测试申请表》

《源代码》

任务书、合同书、申报材料等

约束条件

签订《软件测试委托合同》、《保密协议》

产出物

《软件测试验收报告》

服务区域

北京、上海、天津、重庆、辽宁省、黑龙江省、吉林省、广东省、海南省、福建省、湖南省、四川省、重庆市、贵州省、云南省、广西省、湖北省、河南省、山东省、甘肃省、新疆省、西藏自治区、河北省、陕西省、山西省、浙江省、江苏省等地区等保测评报告。