智慧园区
网络安全服务方案
XXX科技有限公司
2023年XX月XX
安全代码审计服务
源代码审计,在新系统或新版本上线前,从安全角度对应用系统的所有逻辑路径进行测试,通过分析源代码,充分挖掘代码中存在的安全缺陷、规范性缺陷。到普通安全测试所无法发现的如二次注入、反序列化、xml实体注入等安全漏洞。尽可能识别全部潜在的bug和漏洞,保证系统本身的安全性,避免因漏洞而直接造成不必要的损失。
一.1 服务描述
代码审计(Code Audit)是由具备高技能和高素质的安全服务人员发起,检查源代码中的缺点和错误信息,分析并到这些问题引发的安全漏洞,并提供代码修订措施和建议。
代码审计服务的目的在于充分挖掘和暴露系统的弱点,从而让管理人员了解其系统所面临的威胁。信息安全问题时刻都有新的变化,新的攻击方法层出不穷,攻击者攻击的方向越来越侧重于利用软件本身的安全漏洞,例如SQL注入漏洞、跨站脚本漏洞、CSRF漏洞等,这些漏洞主要由不良的软件架构和不安全的编码产生。
开展源代码审计能够降低源代码出现的安全漏洞,构建安全的代码,提高源代码的可靠性,提高应用系统自身安全防护能力。源代码安全检测能够帮助开发人员提高源代码的质量,从底层保障应用系统本身的安全,从早期降低应用系统的开发成本。
代码组件安全检测,对系统开发所采用的第三方组件信息进行采集、维护及时发现组件存在的已知风险,定位受影响的开发项目,避免因引入存在安全风险组件导致的系统性风险发生。
一.2 服务内容
代码审计服务主要对象包括并不限于对Windows和Linux系统环境下的以下语言进行审核:java、C、C#、ASP、PHP、JSP、.NET全面测试。
代码审计服务的主要内容包括但不限于:
OWASP WEB TOP 10漏洞
Web应用程序的权限架构
Web应用通信安全
web应用防护系统数据库的配置规范
SQL语句的编写规范
Web应用框架安全性
代码审计服务主要分为四个阶段,包括测试前期准备阶段、检测阶段实施、复测阶段实施以及成果汇报阶段:
前期准备阶段
在实施源代码安全检测工作前,负责项目实施的技术人员会和系统负责人对源代码安全检测
服务相关的技术细节进行详细沟通。由此确认源代码安全检测的方案,方案内容主要包括确认的源代码安全检测范围、最终对象、检测要求的时间等内容,系统负责人签署源代码安全检测授权书。
在测试实施之前,会做到让系统负责人对安全测试过程和风险的知晓,使随后的正式测试流程都在系统负责人的控制下。
检测实施阶段
在检测实施过程中,测试人员首先进行环境部署,源代码调试,然后使用专业的代码安全检测工具扫描,完成初步的源代码安全检测测试执行工作。
然后由人工的方式进行确认和分析,对安全扫描的结果进行检测和验证,从而对源代码安全漏洞进行定级,测试人员需整理源代码安全检测服务的输出结果并编制源代码安全检测报告,最终提交系统负责人和对报告内容进行沟通。
回归测试阶段
在经过初次源代码安全检测报告提交和沟通后,等待系统负责人针对源代码安全检测发现的问题整改或加固。经整改或加固后,测试人员进行回归测试,即二次复测。复测结束后提交给系统负责人复测报告和对复测结果进行沟通。