代码审计方案.docx

代码审计我司为XXXXXX提供信息系统所有代码进行整体的安全审计。发现(源)代码存在的安全漏洞,并对导致安全漏洞的错误代码进行定位和验证,提供修复方案。语言方面可以支持:Java,JSP,C,C++,.NET(C#),XML,ASP,PHP,JS,VB等。运行环境支持:WindowsRedHatLinux,Ubuntu,Centos,麒麟Linux等主流系统。服务期内对:?xxxxxx提供1次代码审计,并提交相应次数的《(源)代码审计报告》。代码审计服务内容代码审计服务的范围包括使用Java,JSP,C,C++,.NET(C#),XML,ASP,PHPJS,VB等主流语言开发的B/S、C/S应用系统,以及使用XML语言编写的文件、SQL语言和数据库存储过程等,运行环境支持WindowsRedHatLinux,Ubuntu,Centos,麒麟Linux等主流系统。源代码安全审计服务从数据流分析、控制流分析、语义分析、配置分析、结构分析等五个方面全面分析软件源代码安全问题。借助源代码分析工具,针对信息系统源代码扫描、分析,语言方面可以支持:Java/JSPC/C++,.NET平台,TSQL/PLSQL,ColdFusion,XMLCFMLASPPHPJS,VB等。操作系统方面支持:Windows,Solaris,RedHatLinux,MacOSX,HP-UX,IBMAIX等并对导致安全漏洞的错误代码进行定位和验证,提供修复方案。代码审计服务参考标准?monVulnerabilities&Exposures)公共漏洞字典表?OWAS(POpenWebApplicationSecurityProject 公共漏洞字典表?《软件安全开发标准》(ISO/IEC27034)?《独立审计准则第20号-计算机信息系统环境下的审计》审计署关于印发信息系统审计指南的通知》(审计发【2012】11号)审计分类?整体代码审计整体代码审计是指代码审计服务人员对被审计系统的所有源代码进行整体的安全审计,代码覆盖率为100%,整体代码审计采用源代码扫描和人工分析确认相结合的方式进行分析,发现源代码存在的安全漏洞。但整体代码审计属于白盒静态分析,仅能发现代码编写存在的安全漏洞,无法发现业务功能存在的缺陷。?功能点人工代码审计功能点人工代码审计是对某个或某几个重要的功能点的源代码进行人工代码审计,发现功能点存在的代码安全问题。功能点人工代码审计需要收集系统的设计文档、系统开发说明书等技术资料,以便代码审计服务人员能够更好的了解系统业务功能。由于人工代码审计工作量极大,所以需要分析并选择重要的功能点,有针对性的进行人工代码审计。、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。扫描的结果中不但包括详细的安全漏洞的信息, 还会有相关的安全知识的说明,以及修复意见的提供。。>■>>■i2..>-!■*!EJ!F«□!ur=诃厅;il丁i*»re■" :b:ji;tsr-^tfrr,吨小:炸ukiTLUOU^J・,41