2024年5月25日发(作者:)

精品

代码审计

我司为XXXXXX提供信息系统所有代码进行整体的安全审计。发现(源)

代码存在的安全漏洞,并对导致安全漏洞的错误代码进行定位和验证,提供修复

方案。语言方面可以支持:Java,JSP,C,C++,.NET(C#),XML,ASP,PHP,

JS,VB等。运行环境支持:Windows,Red Hat Linux,Ubuntu,Centos,麒麟Linux

等主流系统。

服务期内对:

➢ xxxxxx

提供1次代码审计,并提交相应次数的《(源)代码审计报告》。

1.1 代码审计服务内容

代码审计服务的范围包括使用Java,JSP,C,C++,.NET(C#),XML,ASP,

PHP,JS,VB等主流语言开发的B/S、C/S应用系统,以及使用XML语言编写

的文件、SQL语言和数据库存储过程等,运行环境支持Windows,Red Hat Linux,

Ubuntu,Centos,麒麟Linux等主流系统。

源代码安全审计服务从数据流分析、控制流分析、语义分析、配置分析、结

构分析等五个方面全面分析软件源代码安全问题。

借助源代码分析工具,针对信息系统源代码扫描、分析,语言方面可以支持:

Java/JSP C/C++, .NET平台,TSQL/PLSQL, Cold Fusion,XML,CFML,ASP,PHP,

JS,VB等。操作系统方面支持:Windows, Solaris, Red Hat Linux, Mac OS X, HP-UX,

IBM AIX等并对导致安全漏洞的错误代码进行定位和验证,提供修复方案。

精品

精品

1.2 代码审计服务参考标准

➢ CVE(Common Vulnerabilities & Exposures) 公共漏洞字典表

➢ OWASP(Open Web Application Security Project公共漏洞字典表

➢ 《软件安全开发标准》(ISO/IEC 27034)

➢ 《独立审计准则第20号-计算机信息系统环境下的审计》

➢ 《审计署关于印发信息系统审计指南的通知》(审计发【2012】11号)

1.3 审计分类

➢ 整体代码审计

整体代码审计是指代码审计服务人员对被审计系统的所有源代码进行整体

的安全审计,代码覆盖率为100%,整体代码审计采用源代码扫描和人工分析确

认相结合的方式进行分析,发现源代码存在的安全漏洞。但整体代码审计属于白

盒静态分析,仅能发现代码编写存在的安全漏洞,无法发现业务功能存在的缺陷。

➢ 功能点人工代码审计

功能点人工代码审计是对某个或某几个重要的功能点的源代码进行人工代

码审计,发现功能点存在的代码安全问题。功能点人工代码审计需要收集系统的

设计文档、系统开发说明书等技术资料,以便代码审计服务人员能够更好的了解

系统业务功能。由于人工代码审计工作量极大,所以需要分析并选择重要的功能

点,有针对性的进行人工代码审计。

精品