saas应用代码审计价格服务至上「多面魔方」

金融行业用户源代码安全审计服务

案例背景

某银行内部软件多数由外包公司开发，存在开发人员水平参次不齐，安全意识薄弱，软件安全方面投入不足等问题，以及该银行相对单一的安全测试方法和管理人员缺乏对软件安全等级的验证能力，因此在程序源码层面依旧存在大量安全问题。

针对用户需求，通过源代码安全审计服务，挖掘应用系统隐蔽漏洞，并提出解决方案，以保证用户系统安全。

服务流程

对用户实施的源代码安全审计服务流程分为准备阶段、熟悉阶段、分析审核阶段和总结报告阶段。

?准备阶段

签署保密协议、调研基本情况、熟悉代码和搭建审计环境。

?熟悉阶段

熟悉系统整体架构和各个业务流程等。

?分析审核阶段

工具辅助检测、人工分析、静态分析、动态分析、综合分析和人工验证。

?总结报告阶段

发现并确认风险后，对风险进行分析和编写代码审计报告，包括漏洞名称、漏洞级别、漏洞数量、问题文件、审计过程、风险分析和修复建议。

代码审计服务介绍

全程化服务： 可以为客户提供约定期限内的全程化代码审计服务。不仅会帮助客户发现问题，也会提供的建议和指导，做到发现问题、修补问题、验证修补的全程化服务。力求大化保证审计目标的安全。

定制化专属服务： 我们为客户打造的服务方案中，可基于客户具体的业务场景，对应用系统的各类风险进行评级，方便客户有主次、有缓急的制定安全修复计划。针对不同客户开发团队的技术特点，针对性的提供详细的、可操作性的修复方案以及一对一培训指导服务，确保客户清楚了解风险原因，并辅助客户进行风险修复。

代码安全存在的问题

      现在软件功能都在朝着越来越复杂的方向变化，同时导致软件漏洞逐渐的增加。软件在设计开发过程中，存在着软件开发周期短，工作量大，没有涉及到或无暇顾及代码安全问题，甚至在软件设计前期就缺乏对代码安全的设计，同时也体现出我们的软件开发人员自身就缺乏安全编程的经验。在现在的互联网环境下，代码安全也面临着更多的安全挑战。

软件开发所面临的安全问题

1、代码与架构复杂

几十万、几百万行代码、一个业务分几十个模块几十个代码仓库家常便饭；开发语言多种多样，各种自研框架、流行框架应接不暇、架构还非常复杂。

以上两个问题对审计人员、SAST工具来说无疑都是很大的挑战。

2、工具准召率

没有工具是所谓银弹，规则、插件准召率很低，需要根据开发语言、编码风格自定义；工具对逻辑漏洞的无力，与业务逻辑漏洞大量曝光的漏洞态势之间的矛盾，工具、系统的运营也需要专门人力投入，从而不断提高工具的准召率。

3、心态

审计人员出于KPI的考虑，想着既然花了很长时间做了代码审计，为了体现工作量就必须说点什么，如果系统本来没有问题却在那挑刺，会更加不信任你。对于甲方代码审计人员，审计任务多、代码庞大是常态，如果不考虑后果的只提高速度，这种方式会遗漏掉细节，导致不能的审查。