服务介绍

代码静态安全审计的目的是对产品的安全性、正确性进行审计；尽可能早的发现并确定产品中在安全方面的缺陷和隐患，找出源代码缺陷所引发的安全漏洞并提供代码修订措施和建议；可以更好的理解软件产品，防止漏洞导致安全事件的发生，避免遭受损失；协助开发出高质量的可交付产品。

服务内容：

针对客户提供的待检测的源代码，由代码安全审计团队进行安全审计，通过工具+人工，两者结合的方式，对客户的源代码进行分析，尽可能的发现安全方面的缺陷和隐患，并及时协助进行修复。服务流程主要包含以下阶段：

➢ 信息收集：此阶段中，源代码审计小组进行必要的信息收集，包括本次源代码审计要求、稳定版本的源代码。

➢ 工具审计：确定工具审计的标准和各项配置参数，使用代码安全检测工具对目标源代码进行检测，对工具检测的结果进行人工核查，筛选，分析，汇总。

➢ 人工审计：对客户要求人工审计的重点代码采用人工分析的方法，对源代码中的业务流程及安全漏洞进行审计。

➢ 审计核验：对工具以及人工审计的漏洞，根据源代码流程复盘核验，并根据流程核验结果与利用范围确定危险等级。

➢ 输出报告：此阶段中，源代码审计小组根据测试的结果编写直观的源代码审计服务报告。

服务程度：

可以提供C,C++,.Net,Java,JSP,NodeJs,Go,PHP等多种编程语言的代码审计。

可发现的漏洞，包括但不限于，三方代码漏洞、木马上传、SQL注入、XSS、CSRF、Shell提权、暴力破解、明文敏感数据传输、路径与文件篡改、拖库等一系列安全问题。

在使用工具对应用软件的源代码进行静态的分析，分析的过程中与其特有的软件安全漏洞规则集进行全面地匹配、查找，从而实现对源码漏洞的全面分析与安全漏洞筛查。

人工审计环节，在基于工具的审计结果之上，通过人工重点审计，能够针对项目的开发特征，对多漏洞利用链进行分析、同时针对语言特性，对反序列化，构造函数等动态语言特性的执行流程进行推演，实现对工具审计结果之外的进一步强化。