静态源代码安全项目服务为先 多面魔方技术服务公司

代码审计的方法

审核软件时，应对每个关键组件进行单独审核，并与整个程序一起进行审核。 首先搜索高风险漏洞并解决低风险漏洞是个好主意。 高风险和低风险之间的漏洞通常存在，具体取决于具体情况以及所使用的源代码的使用方式。 应用程序渗透测试试图通过在可能的访问点上启动尽可能多的已知攻击技术来尝试降低软件中的漏洞，以试图关闭应用程序。这是一种常见的审计方法，可用于查明是否存在任何特定漏洞，而不是源代码中的漏洞。 一些人声称周期结束的审计方法往往会压倒开发人员，终会给团队留下一长串已知问题，但实际上并没有多少改进; 在这些情况下，建议采用在线审计方法作为替代方案。

什么是代码审计？常见的自动化代码审计工具有哪些？  

自从人类发明了工具开始，人类就在不断为探索如何更方便快捷的做任何事情，在科技发展的过程中，人类不断地试错，不断地思考，于是才有了现代伟大的科技时代。在安全领域里，每个安全研究人员在研究的过程中，也同样的不断地探索着如何能够自动化的解决各个领域的安全问题。其中自动化代码审计就是安全自动化绕不过去的坎。

这一次我们就一起聊聊自动化代码审计的发展史，也顺便聊聊如何完成一个自动化静态代码审计的关键。自动化代码审计在聊自动化代码审计工具之前，首先我们必须要清楚两个概念，漏报率和误报率。

- 漏报率是指没有发现的漏洞/Bug

- 误报率是指发现了错误的漏洞/Bug

在评价下面的所有自动化代码审计工具/思路/概念时，所有的评价标准都离不开这两个词，如何消除这两点或是其中之一也正是自动化代码审计发展的关键点。

我们可以简单的把自动化代码审计（这里我们讨论的是白盒）分为两类，一类是动态代码审计工具，另一类是静态代码审计工具。

APP代码审计检测系统架构

测试系统主要分为两个模块，一个是分析引擎模块，一个是测试管理模块。不同平台上开发的软件代码可以通过中间的分布式调度方式来完成分发调度测试。如图所示：

目前可以支持对 JAVA、JSP、 C、C++、PHP、ASP、 C#、JavaScript、VBScript、Python、HTML、XML等十几开发语言的安全漏洞的检查，共能够检测出约 1000种漏洞。启天安全源代码审计系统将所有安全漏洞系统地整理并依据漏洞的表现形式、形成原因和危害程序进行科学地分类，共分为“输入验证、API 误用、质量性能、异常处理、 代码规范、安全控制、环境配置、信息封装”8个大类，然后根据开发语言的不同，在结合国际漏洞标准组织CWE的漏洞知识库进行细分和命名，目前约1000个子类。

银行应用代码审计方案

银行是网络攻击的主要目标，企业也将信息安全作为其的关注点之一。近年来，银行系统的安全事件不绝于耳。导致这些攻击事件的主要根源是由于应用程序自身的漏洞，因此保障应用安全成了当前银行业信息安全的工作重点。

银行面临的应用安全问题主要有以下几个方面：

1、 应用数量庞大，实现全部安全测试并实时监控的难度很大。

要想实现对所有的应用进行详尽的安全测试，并在其版本更新时立即进行回归测试，无论是人工测试还是利用传统渗透测试工具及静态代码扫描工具都无法很好的达到目的。人工的方式太耗费人力。渗透测试工具依赖于人，且对于很多测试路径无法达到。静态工具误报率高，扫描的效率低下。

2、 为了快速应对需求变更，金融行业软件大量使用敏捷开发的模型，这使得安全代码审核的工作量加大。

敏捷开发的模型的特点是快速迭代，频繁的版本发布加大的安全代码审核的工作量，人工审核的方式已无法全部覆盖到。

3、 有大量项目是外包开发，其安全质量无法把控。

外包团队往往只注重对功能需求的完成，而不太顾及代码质量与安全问题。 企业没有很好的方法在过程中加强安全质理的管理。

对外包团开发的代码进行安全审计是银行保障应用安全的关键活动。SECZONE经过多年的安全服务的积累，对于银行外包代码安全审计形成了包括培训、S-SDLC流程、IAST技术组成的成熟解决方案。

1、应用安全培训

2、S-SDLC软件安全开发生命周期流程

3、利用IAST工具进行源码审核

4、兼容敏捷开发模式

5、实现对外包团队开发质量的控制