代码审计方案(共8页).docx

精选优质文档-----倾情为你奉上
精选优质文档-----倾情为你奉上
专心---专注---专业
专心---专注---专业
精选优质文档-----倾情为你奉上
专心---专注---专业
代码审计
我司为XXXXXX提供信息系统--专业
精选优质文档-----倾情为你奉上
专心---专注---专业
《审计署关于印发信息系统审计指南的通知》（审计发【2012】11号）
审计分类
整体代码审计
整体代码审计是指代码审计服务人员对被审计系统的所有源代码进行整体的安全审计，代码覆盖率为100%，整体代码审计采用源代码扫描和人工分析确认相结合的方式进行分析，发现源代码存在的安全漏洞。但整体代码审计属于白盒静态分析，仅能发现代码编写存在的安全漏洞，无法发现业务功能存在的缺陷。
功能点人工代码审计
功能点人工代码审计是对某个或某几个重要的功能点的源代码进行人工代码审计，发现功能点存在的代码安全问题。功能点人工代码审计需要收集系统的设计文档、系统开发说明书等技术资料，以便代码审计服务人员能够更好的了解系统业务功能。由于人工代码审计工作量极大，所以需要分析并选择重要的功能点，有针对性的进行人工代码审计。
精选优质文档-----倾情为你奉上
精选优质文档-----倾情为你奉上
专心---专注---专业
专心---专注---专业
精选优质文档-----倾情为你奉上
专心---专注---专业
审计工具
Fortify SCA
Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎：数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析，分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找，从而将源代码中存在的安全漏洞扫描出来，并给予整理报告。扫描的结果中不但包括详细的安全漏洞的信息，还会有相关的安全知识的说明，以及修复意见的提供。
代码审计实施流程
源代码审计服务主要分为四个阶段，包括代码审计前期准备阶段、代码审计阶段实施、复查阶段实施以及成果汇报阶段：
前期准备阶段
在实施代码审计工作前，技术人员会和客户对代码审计服务相关的技术细节进行详细沟通。由此确认代码审计的方案，方案内容主要包括确认的代码审计范围、最终对象、审计方式、审计要求和时间等内容。
代码审计阶段实施
在源代码审计实施过程中，技术人员首先使用代码审计的扫描工具对源代码
精选优质文档-----倾情为你奉上
精选优质文档-----倾情为你奉上
专心---专注---专业
专心---专注---专业
精选优质文档-----倾情为你奉上
专心---专注---专业
进行扫描，完成初步的信息收集，然后由人工的方式对源代码扫描结果进行人工的分析和确认。
根据收集的各类信息对客户要求的重要功能点进行人工代码审计。
结合自动化源代码扫描和人工代码审计两方的结果，代码审计服务人员需整理代码审计服务的输出结果并编制代码审计报告，最终提交客户和对报告内容进行沟通。
复测阶段实施
经过第一次代码审计报告提交和沟通后，等待客户针对代码审计发现的问题整改或加固。经整改或加固后，代码审计服务人员进行回归检查，即二次检查。检查结束后提交给客户复查报告和对复查结果进行沟通。