最新代码审计方案.docx

代码审计方案
代码审计
我司为XXXXXX提供信息系统所有代码进行整体的平安审计。发现〔源〕代码存在的平安漏洞，并对导致平安漏洞的错误代码进行定位和验证，提供修复方案。语言方面可以支持：Java，JSP，C，C++,.NET〔C漏洞。但整体代码审计属于白盒静态分析，仅能发现代码编写存在的平安漏洞，无法发现业务功能存在的缺陷。
功能点人工代码审计
功能点人工代码审计是对某个或某几个重要的功能点的源代码进行人工代码审计，发现功能点存在的代码平安问题。功能点人工代码审计需要收集系统的设计文档、系统开发说明书等技术资料，以便代码审计效劳人员能够更好的了解系统业务功能。由于人工代码审计工作量极大，所以需要分析并选择重要的功能点，有针对性的进行人工代码审计。
审计工具
Fortify SCA
Fortify SCA 是一个静态的、白盒的软件源代码平安测试工具。它通过内置的五大主要分析引擎：数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析，分析的过程中与它特有的软件平安漏洞规那么集进行全面地匹配、查找，从而将源代码中存在的平安漏洞扫描出来，并给予整理报告。扫描的结果中不但包括详细的平安漏洞的信息，还会有相关的平安知识的说明，以及修复意见的提供。
代码审计实施流程
源代码审计效劳主要分为四个阶段，包括代码审计前期准备阶段、代码审计阶段实施、复查阶段实施以及成果汇报阶段：
前期准备阶段
在实施代码审计工作前，技术人员会和客户对代码审计效劳相关的技术细节进行详细沟通。由此确认代码审计的方案，方案内容主要包括确认的代码审计范围、最终对象、审计方式、审计要求和时间等内容。
代码审计阶段实施
在源代码审计实施过程中，技术人员首先使用代码审计的扫描工具对源代码进行扫描，完成初步的信息收集，然后由人工的方式对源代码扫描结果进行人工的分析和确认。
根据收集的各类信息对客户要求的重要功能点进行人工代码审计。
结合自动化源代码扫描和人工代码审计两方的结果，代码审计效劳人员需整理代码审计效劳的输出结果并编制代码审计报告，最终提交客户和对报告内容进行沟通。
复测阶段实施
经过第一次代码审计报告提交和沟通后，等待客户针对代码审计发现的问题整改或加固。经整改或加固后，代码审计效劳人员进行回归检查，即二次检查。检查结束后提交给客户复查报告和对复查结果进行沟通。
成果汇报阶段
根据一次代码审计和二次复查结果，整理代码审计效劳输出成果，最后汇总形成?信息系统代码审计报告?。
图 代码审计效劳流程
风险控制及输出成果
为防止风险的产生，源代码审计工作通常不会在生产或测试效劳器上进行。XXXXXX信息中心需要提供源代码或存储源代码的计算机载体。代码审计效劳人员会将一些代码审计工具安装在存储源代码的计算机载体中，在完成代码审计后卸载这些工具，以保护业务资产不受损害。
在代码审计过程中，确定代码审计效劳人员和配合人员的联系方式，便于及时沟通并解决效劳过程中的各类问题。
源代码审计重点
跨站请求伪装漏洞
漏洞：提交表单中没有用户特有的标识。
影响：攻击者可利用跨站请求伪装 (CSRF) 漏洞假冒另一用户发出未经授权的请求，即恶意用户盗用其他用户的身份使用