测评服务
- 项目简介
- 测评范围
- 测评依据
- 测评指南
- 合作检测机构
- 证书查询
- 获证名录
-
项目简介
代码审计(Code Review)是由具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。
代码审计服务的目的在于充分挖掘当前代码中存在的安全缺陷以及规范性缺陷,减少客户应用系统的安全漏洞和缺陷隐患,有效降低客户应用系统安全风险,保障应用系统安全稳定运行。
-
测评范围
服务对象:
1、使用ASP、ASP.NET(VB/C#)、JSP(JAVA)、PHP等主流编程语言开发的B/S应用系统。
2、使用C++、JAVA、C#、VB等主流编程语言开发的C/S应用系统。
3、使用XML语言编写的文件、SQL语言和数据库存储过程等。
服务内容:
1、 源代码设计层面,包括不安全的标识符、API滥用、资源滥用、错误处理不当、直接对象引用等。
2、 源代码漏洞扫描,包括开源框架漏洞扫描,日志伪造漏洞,密码明文存储,资源管理,调试程序残留,二次注入,反序列化等。
3、 业务逻辑错误,包括未授权访问,越权访问缺陷等问题。
4、 规范性权限配置,数据库配置规范,Web服务的权限配置SQL语句编写规范。
5、各类行业监管要求,可扩展其他监管要求。
测评依据
1、CERT C/C++/Java安全编码标准
2、MISRA C/C++
3、ISO/IEC TR 24772
4、OWASP Top 10
5、CWE/SANS TOP 25
测评指南
代码审计主要包括四个阶段:前期准备阶段、实施阶段、复测阶段、成果汇报阶段。具体流程如下图所示:
-
合作检测机构
-
获证名录