主流源代码安全审计泄漏服务介绍 多面魔方有限公司

APP代码审计检测系统架构

测试系统主要分为两个模块，一个是分析引擎模块，一个是测试管理模块。不同平台上开发的软件代码可以通过中间的分布式调度方式来完成分发调度测试。如图所示：

目前可以支持对 JAVA、JSP、 C、C++、PHP、ASP、 C#、JavaScript、VBScript、Python、HTML、XML等十几开发语言的安全漏洞的检查，共能够检测出约 1000种漏洞。启天安全源代码审计系统将所有安全漏洞系统地整理并依据漏洞的表现形式、形成原因和危害程序进行科学地分类，共分为“输入验证、API 误用、质量性能、异常处理、 代码规范、安全控制、环境配置、信息封装”8个大类，然后根据开发语言的不同，在结合国际漏洞标准组织CWE的漏洞知识库进行细分和命名，目前约1000个子类。

代码审计的应用

源代码作为企业***商业，受到了高度重视和保护。然而由于其自身存在的安全缺陷、软件缺乏安全设计、不良的编程习惯等因素，使得注入、敏感信息泄露、命令执行等风险漏洞频频发生，给金融行业造成重大损失。因此，对源代码进行安全审计、提前发现系统漏洞、找出应用系统潜在风险、给出相应安全报告和修复方法成为提升用户应用系统安全性、保障软件源代码、设计、开发和应用的重要手段。

多年来持续深耕金融行业，始终为广大金融行业用户提供高质量的产品和服务，源代码安全审计服务作为专项技术检测服务的重点内容，已在诸多金融行业项目中得到实践运用，获得用户一致认可。

代码安全审计的内容和价值

通过采用工具审计和人工审计相结合的方式，充分挖掘系统源代码中存在的安全缺陷以及规范性缺陷，对应用系统的源代码进行安全检测。市面主流研发语言我们都支持。

通过开展应用系统源代码审计工作，减少客户应用系统的安全漏洞和缺陷隐患，有效降低客户应用系统安全风险，保障应用系统安全稳定运行。

软件开发所面临的安全问题

1、代码与架构复杂

几十万、几百万行代码、一个业务分几十个模块几十个代码仓库家常便饭；开发语言多种多样，各种自研框架、流行框架应接不暇、架构还非常复杂。

以上两个问题对审计人员、SAST工具来说无疑都是很大的挑战。

2、工具准召率

没有工具是所谓银弹，规则、插件准召率很低，需要根据开发语言、编码风格自定义；工具对逻辑漏洞的无力，与业务逻辑漏洞大量曝光的漏洞态势之间的矛盾，工具、系统的运营也需要专门人力投入，从而不断提高工具的准召率。

3、心态

审计人员出于KPI的考虑，想着既然花了很长时间做了代码审计，为了体现工作量就必须说点什么，如果系统本来没有问题却在那挑刺，会更加不信任你。对于甲方代码审计人员，审计任务多、代码庞大是常态，如果不考虑后果的只提高速度，这种方式会遗漏掉细节，导致不能的审查。