安全服务

    应用代码安全审计

 代码审计通过分析当前应用系统的源代码,熟悉业务系统,从应用系统结构方面检查其各模块和功能之间的关联、权限验证等内容;从安全性方面检查其脆弱性和缺陷。在明确当前安全现状和需求的情况下,对下一步的编码安全规范性建设有重大的意义。利用一定的编程规范和标准,针对应用程序源代码,从结构、脆弱性以及缺陷等方面进行审查,以发现当前应用程序中存在的安全缺陷以及代码的规范性缺陷。

代码审计人员主要是利用一些代码规范检查工具对网站各功能模块的代码进行合规性检查,主要目的在于提高代码质量,使其更符合编码规范的要求,主要包括以下内容:

代码质量

封装

API滥用

代码卫士核心部件由安全管理平台、各操作系统源代码分析引擎、缺陷知识库等组成。

安全管理平台负责源代码分析任务的统一管理、代码分析引擎的调度、代码审计、报告输出,以及与代码版本管理系统、Bug管理系统等的对接;代码分析引擎负责源代码的安全分析,由引擎代理、缺陷检测引擎、合规检测引擎组成,其中引擎代理负责与安全管理平台通信及引擎调度,缺陷检测引擎负责检查源代码安全缺陷,合规检测引擎负责检查源代码与安全规范的符合性,缺陷检测引擎与合规检测引擎可独立使用,也能结合使用;缺陷知识库存储缺陷模式及缺陷分类、缺陷样本等基础数据信息。