源代码安全审计

服务目的

为了有效避免应用系统开发过程中可能留下的各类安全隐患，有必要通过专业工具和人工分析的方式对应用系统源代码进行全面分析和排查，以便更深入地发现源代码中存在的安全隐患，从而大大增强信息系统安全性和抵御黑客攻击的能力。测试过程不会对线上业务造成影响，不会导致诸如系统宕机、服务卡死、数据库阻塞、业务数据丢失等风险。

服务内容

通过专业的源代码安全审计工具，在数据流、语义、结构、控制流、配置流等方面对应用系统的源代码进行静态分析，分析的过程中与特有的软件安全漏洞规则集进行全面地匹配、查找，从而将源代码中存在的安全漏洞扫描出来。通过人工分析排除工具检测存在的误报、漏报，并对工具无法检测的安全漏洞或安全隐患进行分析。能够检测OWASP、CWE、PCI等国际权威组织定义的各类软件安全漏洞，支持代码逻辑和架构分析。测试内容包括常见安全漏洞、后门木马和恶意行为等。

服务依据

GB/T 39412-2020 《信息安全技术 代码安全审计规范》

GB/T 34944-2017《Java语言源代码漏洞测试规范》

GB/T 34943-2017《C/C++语言源代码漏洞测试规范》

GB/T 34946-2017《C#语言源代码漏洞测试规范》

服务优势

借助丰富的源代码安全审计工具，结合业界最新的代码安全攻略，通过大量软件开发和代码审计实践经验的积累，技术团队保持国内领先的源代码安全审计技术水平。长期服务于部委、央企、金融、互联网公司等行业重要客户，承担过等级保护第四级信息系统的源代码审计工作。