jsp源代码漏洞服务服务为先「多面魔方」

代码审计——四款主流的源代码扫描工具简介

工欲善其事，必先利其器。

在源代码的静态安全审计中，使用自动化工具代替人工漏洞挖掘，可以显著提高审计工作的效率。学会利用自动化代码审计工具，是每一个代码审计人员必备的能力。在学习PHP源代码审计的过程中，本人搜集使用了多款自动化工具。本文将简要介绍其中三款比较实用的工具：

Fortify SCA（Static Code Analyzer）是由Fortify软件公司（已被惠普收购）开发的一款商业版源代码审计工具。它使用的数据流分析技术，跨层跨语言地分析代码的漏洞产生，目前支持所有的主流开发语言。Fortify SCA是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎：数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态分析，分析的过程中与它特有的软件安全漏洞规则进行地匹配、查找，从而将源代码中存在的安全漏洞扫描出来，并给于整理报告。

Checkmarx的CxEnterprise静态源代码安全漏洞扫描和管理方案是一款比较的、综合的源代码安全扫描和管理方案，该方案提供用户、角色和团队管理、权限管理、扫描结果管理、扫描调度和自动化管理、扫描资源管理、查询规则管理、扫描策略管理、更新管理、报表管理等多种企业环境下实施源代码安全扫描和管理功能。

VeraCode静态源代码扫描分析服务平台是商业运营好的平台，数千家 软件科技公司都在使用其服务发现软件安全漏洞、质量缺陷。

什么场景下需要做代码安全审计

1、合规驱动

新等保“自行软件开发”及“外包软件开发”中均有对代码安全的要求；

2、软件研发自身的安全隐患

普通软件开发公司的缺陷密度为4～40个缺陷；

高水平的软件公司的缺陷密度为2～4个缺陷；

美国NASA的软件缺陷密度可达到0.1个缺陷；

3、安全事件

源代码缺陷导致的安全事件，例如sql注入、跨站攻击等，导致信息泄露、脱库、提权等。

代码审计有什么作用

      源代码安全检测是缓解软件安全问题的有效途径，可从***上大量减少代码注入、跨站脚本等高危安全问题，进而提升信息系统的安全性。根据Gartner统计，在软件代码实现阶段发现并纠正安全问题所花费的成本，比软件交付后通过“上线安全评估”发现问题再进行整改的成本要低50~1000倍。越早发现源代码安全问题，其修复成本越低，代码审计可以帮助组织在软件开发过程中“尽早尽快”发现安全问题，有效降低软件修复成本。

手工代码审计的优缺点

优点

? 能够深入研究代码路径，检查设计和体系结构中的逻辑错误和缺陷，大多数自动化工具都无法找到这些错误和缺陷

? 与一些自动化工具相比，手动检测授权、身份验证和数据验证等安全问题的效果更好

? 对于值的应用程序，总是有额外的利用空间(需要经过培训的)

? 查看其他人的代码是共享安全代码和AppSec知识的好方法

缺点

? 要求精通应用程序中使用的语言和框架，并需要对安全性有深入的理解

? 不同的评审人员将生成不同的报告，从而导致评审人员之间的结果不一致——尽管同行评审可以是一个修复方法

? 测试和编写报告是及时的，并且经常需要开发人员参加有时很长时间的访谈会议，以便为审查人员提供上下文，这消耗了开发人员的时间和资源

? 对代码行数超过10-15k的应用程序的手动审查于针对高风险功能