OWASP代码安全审计.doc

OWASP代码安全审计.docmonVulnerabilities&Exposures)公共漏洞字典表、OWASP十大Web漏洞(OpenWebApplicationSecurityProject)2013,以及设备、软件厂商公布的漏洞库,结合专业源代码扌I描工具对各种程序语言编写的源代码进行安全审计。能够为客户提供包括安全编码规范咨询、源代码安全现状测评、定位源代码中存在的安全漏洞、分析漏洞风险、给出修改建议等一系列服务。服务背景信息安全问题时刻都有新的变化,新的攻击方法层出不穷,黑客攻击的方向越来越侧重于利用软件木身的安全漏洞,例如SQU主入漏洞、跨站脚本漏洞、CSRI•、漏洞等,这些漏洞主耍由不良的软件架构和不安全的编码产生。开展源代码安全审计能够降低源代码出现的安全漏洞,构建安全的代码,提高源代码的可靠性,提高应用系统门身安全防护能力。源代码安全审计能够帮助开发人员提髙源代码的质量,从底层保障应用系统本身的安全,从早期降低应用系统的开发成本。服务内容1•安全编码规范及规则咨询在软件编码Zliij,利用测评屮心丰直的安全测试经验,为系统廿发人员捉供安全编码规范、规则的咨询和建议,提前避免不安全的编码方式,提髙源代码自身的安全性°源代码安全现状测评针对系统开发过程中的编码阶段、测试阶段、交付验收阶段、对各阶段系统源代码进行安全审计检测,利用数据流分析引擎、语义分析引擎、控制流分析引擎等技术,采用专业的源代码安全审计工具对源代码安全问题进行分析和检测并验址,从而对源代码安全漏洞进行定级,给出安全漏洞分析报告等,帮助软件开发的管理人员统计和分析当前阶段软件安全的风险、趋势,跟踪和定位软件安全漏洞,提供软件安全质量方面的真实状态信息。源代码整改咨询依据源代码安全测评结果,对源代码安全漏洞进行人-T•审计,并依据安全漏洞问题给出相应修改建议,协助系统开发人员对源代码进行修改。源代码安全审计服务流程汀 •-•; «融 •:(计划准备测试代求分析测试方案制定测试方案W核-■••••■••■■1■1I测试执行坏境部湄源代码调试■0业代6WIUU!猶凹|丿1测试Ji■(人工审计漏淀分析验iiE漏洞风险能级提出修改建议•••<■•11-•■1[成果提交J报竹编耳报吿申核 r— 一报竹捉交■t••1•• ・