代码审计

构建一个应用程序，并始终确保应用程序其安全性的话，事实上构建应用程序的时候需要花大量的工作，一个步骤没有检查就可能导致整个系统或者产品都处于受黑客攻击的危险之中，谁不希望在产品发布初期就发现安全漏洞并且修复漏洞，那何乐而不为呢！

代码审计(CodeAudit) 就是根据了解到的程序功能和关键业务，针对程序源代码逐条进行检查和分析，找出源代码中可能引发的常见安全漏洞和业务逻辑问题的缺陷，并提供代码修改建议或解决方案。

源代码安全漏洞扫描工具

可以对未经编译的软件源代码进行代码扫描分析，快速识别安全漏洞及发现合规方面存在的问题，并向您指出漏洞的位置和分析修复方法。由于是对未经编译的代码进行扫描，因此不需要去处理复杂的代码编译所需要的环境及构建问题。节省大量的人力和时间成本，提高开发效率，并且能够发现很多靠人力无法发现的安全漏洞，站在黑客的角度上去审查程序员的代码，找出潜在的风险，从内对软件进行检测，提高代码的安全性，大大降低项目中的安全风险，提高软件质量，可快速、准确地查找，定位和修复软代码中存在的安全风险。同时兼容并达到国际、国内相关行业的合规要求。

代码审计结合OWASP十大Web漏洞以及设备、CVE公共漏洞字典表、CWE、CNVD等权威漏洞库规则集、软件厂商公布的漏洞库，结合专业源代码扫描工具对各种程序语言编写的源代码安全漏洞扫描分析。

代码审计规范及规则分析

1）代码审计规范及规则分析

在软件编码之前，利用实验室丰富的安全测试经验，为系统开发人员提供安全编码规范、规则的咨询和建议，提前避免不安全的编码方式，提高源代码自身的安全性。

2）代码审计安全现状分析

针对系统开发过程中的编码阶段、测试阶段、交付验收阶段、对各阶段系统源代码进行安全审计检测，利用数据流分析引擎、语义分析引擎、控制流分析引擎等技术，采用专业的源代码安全审计工具对源代码安全问题进行分析和检测并验证，从而对源代码安全漏洞进行定级，给出安全漏洞分析报告等，帮助软件开发的管理人员统计和分析当前阶段软件安全的风险、趋势，跟踪和定位软件安全漏洞，提供软件安全质量方面的真实状态信息。

3）代码审计整改分析

依据源代码安全测评结果，对源代码安全漏洞进行人工审计，并依据安全漏洞问题给出相应修改建议，协助系统开发人员对源代码进行修改。

代码审计依据

C/C++源代码检测依据《C/C++语言源代码漏洞测试规范 GB/T 34943-2017》

JAVA源代码检测依据《Java语言源代码漏洞测试规范 GB/T 34944-2017》

C#源代码检测依据《C#语言源代码漏洞测试规范 GB/T 34946-2017》

根据不同开发语言检测出不同开发语言中常见错误，比如：c/c++中的空指针释放、内存管理问题(如内存泄漏) 、数组越界、未初始化数据使用、编码风格等问题；java语言中效率错误(如:空的finalize方法)、可维护性问题(如：空的catch从句)、可靠性问题(如资源泄漏)等。

支持主流语言：Java、JSP、JavaSript、VBSript、C#、ASP.net、VB.Net、VB6、C/C++、ASP、PHP、Python、Swift、Ruby、Perl、PL/SQL、Android、OWASP ESAPI、MISRA、Objective-C(iOS)、API及第三方语言。

支持的主流框架（Framework）：Struts、Spring、Ibatis、GWT、Hiberante、EnterpriseLibraries、 Telerik、ComponentArt、Infragistics、FarPoint、Ibatis.NET、Hibernate.Net [*]、MFC。可针对客户特定框架快速定制支持。