代码审计方案.docx

代码审计方案
代码审计
我司为XXXXXX提供信息系统所有代码进行整体的安全审计。发现（源）代码存在的安全漏洞，并对导致安全漏洞的错误代码进行定位和验证，提供修复方案。语言方面可以支持：Java，JSP，C，C++,.NET（C#）,XML，ASP，PHP，JS，VB等。运行环境支持：Windows，Red Hat Linux，Ubuntu，Centos，麒麟Linux等主流系统。
服务期内对：
xxxxxx
提供1次代码审计，并提交相应次数的《（源）代码审计报告》。
代码审计服务内容
代码审计服务的范围包括使用Java，JSP，C，C++,.NET（C#）,XML，ASP，PHP，JS，VB等主流语言开发的B/S、C/S应用系统，以及使用XML语言编写的文件、SQL语言和数据库存储过程等，运行环境支持Windows，Red Hat Linux，Ubuntu，Centos，麒麟Linux等主流系统。
源代码安全审计服务从数据流分析、控制流分析、语义分析、配置分析、结构分析等五个方面全面分析软件源代码安全问题。
借助源代码分析工具，针对信息系统源代码扫描、分析，语言方面可以支持：Java/JSP C/C++, .NET平台,TSQL/PLSQL, Cold Fusion，XML，CFML，ASP，PHP，JS，VB等。操作系统方面支持：Windows, Solaris, Red Hat Linux, Mac OS X, HP-UX, IBM AIX等并对导致安全漏洞的错误代码进行定位和验证，提供修复方案。
代码审计服务参考标准
CVE(Common Vulnerabilities & Exposures) 公共漏洞字典表
OWASP（Open Web Application Security Project公共漏洞字典表
《软件安全开发标准》（ISO/IEC 27034）
《独立审计准则第20号-计算机信息系统环境下的审计》
《审计署关于印发信息系统审计指南的通知》（审计发【2012】11号）
审计分类
整体代码审计
整体代码审计是指代码审计服务人员对被审计系统的所有源代码进行整体的安全审计，代码覆盖率为100%，整体代码审计采用源代码扫描和人工分析确认相结合的方式进行分析，发现源代码存在的安全漏洞。但整体代码审计属于白盒静态分析，仅能发现代码编写存在的安全漏洞，无法发现业务功能存在的缺陷。
功能点人工代码审计
功能点人工代码审计是对某个或某几个重要的功能点的源代码进行人工代码审计，发现功能点存在的代码安全问题。功能点人工代码审计需要收集系统的设计文档、系统开发说明书等技术资料，以便代码审计服务人员能够更好的了解系统业务功能。由于人工代码审计工作量极大，所以需要分析并选择重要的功能点，有针对性的进行人工代码审计。

在源代码审计实施过程中，技术人员首先使用代码审计的扫描工具对源代码进行扫描，完成初步的信息收集，然后由人工的方式对源代码扫描结果进行人工的分析和确认。
根据收集的各类信息对客户要求的重要功能点进行人工代码审计。
结合自动化源代码扫描和人工代码审计两方的结果，代码审计服务人员需整理代码审计服务的输出结果并编制代码审计报告，最终提交客户和对