信息系统源代码安全审查是对定制开发的应用程序源代码进行静态安全扫描和审查,识别可能导致安全问题的编码缺陷和漏洞的过程。
1、输入验证与表示类:跨站脚本、SQL注入、拒绝服务等;
2、代码质量:空指针调用、资源未释放等;
3、API调用类:未检查空值、未检测返回值等;
4、安全特性:口令管理、不安全的随机数等;
5、时间与状态:代码错误、固定会话等;
6、错误处理:过多的异常捕获、过多的抛出异常等;
7、封装类:系统信息泄露等;
8、环境类:口令管理等。
1、委托受理阶段:售前与委托单位就源代码审查项目进行前期沟通,签署《保密协议》,接收被测单位提交的资料,协助被测单位填写《信息系统源代码安全审查基本情况调查表》,必要时由中心技术部门为委托单位提供技术咨询。前期沟通结束后,双方签署《信息系统源代码安全审查合同》;
2、准备阶段:项目经理组织编写《信息系统源代码安全审查方案》,就测试方案内容与委托单位进行沟通,确定信息系统源代码安全审查的具体日期、客户方配合的人员,通知客户做好测试前的准备工作;
3、实施阶段:项目经理明确项目组检测人员承担的测试项,按照被测单位提交的《信息系统源代码安全审查基本情况调查表》部署检测环境,为源代码安全审查做好准备工作。检测人员完成源代码安全扫描工作后,根据扫描结果,对源代码扫描结果进行分析审查。分析审查工作完成后,项目组成员应在监督员和客户的监督下,彻底清除检测设备中已装载的客户代码信息;
4、综合评估阶段:项目组整理源代码安全审查数据,编写《信息系统源代码安全审查报告》并就审查结果和客户进行沟通;
5、结题阶段:项目组将测评过程中生成的各类文档、过程记录进行整理,并交档案管理员归档保存。中心质量专员请客户填写《客户满意度调查表》,收集客户反馈意见。
20-40个工作日。
知企网收取的只是咨询服务费。
信息系统源代码安全审查通过在测试机上部署应用系统开发环境,导入软件源代码进行。项目组在安全审查前期利用工具对源代码进行静态扫描,后期通过人工审查并分析扫描结果,确认源代码存在的安全隐患,并形成最终的源代码安全审查报告。
扫一扫咨询
知企网微信官方客服
客服热线:400-885-0909
24小时在线咨询
*我们将对您的号码严格保密,请放心使用
扫码下载APP
服务评价
好评度