代码审计方案.doc

(源)代码存在得安全漏洞,并对导致安全漏洞得错误代码进行定位与验证,提供修复方案。语言方面可以支持:Java,JSP,C,C++,、NET(C#),XML,ASP,PHP,JS,:Windows,RedHat Linux,Ubuntu,Centos,麒麟Linux等主流系统。服务期内对:xxxxxx提供1次代码审计,并提交相应次数得《(源)代码审计报告》。1、1代码审计服务内容代码审计服务得范围包括使用Java,JSP,C,C++,、NET(C#),XML,ASP,PHP,JS,VB等主流语言开发得B/S、C/S应用系统,以及使用XML语言编写得文件、SQL语言与数据库存储过程等,运行环境支持Windows,RedHatLinux,Ubuntu,Centos,麒麟Linux等主流系统。源代码安全审计服务从数据流分析、控制流分析、语义分析、配置分析、结构分析等五个方面全面分析软件源代码安全问题。借助源代码分析工具,针对信息系统源代码扫描、分析,语言方面可以支持:Java/JSP C/C++,、NET平台,TSQL/PLSQL,ColdFusion,XML,CFML,ASP,PHP,JS,VB等。操作系统方面支持:Windows, Solaris,RedHat Linux,MacOSX,HP-UX, IBMAIX等并对导致安全漏洞得错误代码进行定位与验证,提供修复方案。1、2代码审计服务参考标准CVE(mon Vulnerabilities&Exposures)公共漏洞字典表OWASP(OpenWebApplicationSecurityProject公共漏洞字典表《软件安全开发标准》(ISO/IEC27034)《独立审计准则第20号—计算机信息系统环境下得审计》《审计署关于印发信息系统审计指南得通知》(审计发【2012】11号)1、3审计分类整体代码审计整体代码审计就是指代码审计服务人员对被审计系统得所有源代码进行整体得安全审计,代码覆盖率为100%,整体代码审计采用源代码扫描与人工分析确认相结合得方式进行分析,发现源代码存在得安全漏洞。但整体代码审计属于白盒静态分析,仅能发现代码编写存在得安全漏洞,无法发现业务功能存在得缺陷。功能点人工代码审计功能点人工代码审计就是对某个或某几个重要得功能点得源代码进行人工代码审计,、系统开发说明书等技术资料,以便代码审计服务人员能够更好得了解系统业务功能。由于人工代码审计工作量极大,所以需要分析并选择重要得功能点,有针对性得进行人工代码审计。1、4审计工具Fortify SCAFortifySCA就是一个静态得、:数据流、语义、结构、控制流、配置流等对应用软件得源代码进行静态得分析,分析得过程中与它特有得软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在得安全漏洞扫描出来,并给予整理报告。扫描得结果中不但包括详细得安全漏洞得信息,还会有相关得安全知识得说明,以及修复意见得提供。1、5代码审计实施流程源代码审计服务主要分为四个阶段,包括代码审计前期准备阶段、代码审计阶段实施、复查阶段实施以及成果