代码审计专家服务团队,除了提供网络、现场的源代码审计服务外,为了帮助企业建立代码审计服务平台、代码扫描基线、安全和质量编码规范、制度流程,打通企业研发的各个管理环节,实现自动化等企业级源代码安全审计咨询服务。
企业要建立内部完整的代码审计服务平台,实现高效的自动化代码审计,需要打通企业研发管理的各个环节,让工具融入现有开发测试环境真正被接受和充分利用,需要从工具、扫描基线、编码规范到制度流程等各个环节进行评估设计。而代码审计专家服务团队,可以提供满足上述需求的企业级源代码安全审计咨询服务,包含但不限于以下内容:
■ 源代码安全扫描分析工具选型建议
■ 源代码安全基线分析与制定
■ 软件安全编码规范制定及实施
■ 源代码扫描自动化实现
■ 软件安全开发技术培训
■ 软件安全开发生命周期(SDL)咨询
经过企业级的代码安全审计咨询服务可实现:企业关注的问题,都有编码规范要求;编码规范要求的,都会在测试或审计环节被扫描;扫描出的问题,都有详细的帮助文档协助修复。
主要服务内容如下:
1、源代码安全扫描分析工具选型建议
审计专家制定《企业源代码安全风险评估调查清单》,由开发管理团队填写提交,根据反馈内容进行访谈,了解企业常用语言、架构、合规要求等特征,并对比业内各种源代码安全扫描工具的优缺点及企业特点,分析企业应用系统代码安全扫描适合的工具,为企业选择扫描工具提供依据。
2、源代码扫描工具自动化实现
根据企业开发测试环境,将代码扫描工具与源码版本管理工具(SVN、GIT等)、邮件服务器、IDE等集成,实现自动高效的代码扫描和管理。
3、企业应用系统整体代码风险评估
审计专家对企业主要的应用系统进行整体的代码安全扫描和评估,并汇总结果数据,分析并制定《历史项目代码安全缺陷汇总报告》,帮助企业明确其整体代码安全形势。
4、试点项目详细分析
4.1 试点项目选择与调查
根据历史项目扫描结果中各系统漏洞覆盖情况,以及系统的重要性等方面,从中选取若干试点系统作为试点扫描目标,由代码审计专家进行详细分析。
制定《项目技术信息调查表》,与开发团队沟通以调查系统的各项技术特征和业务特征。
4.2 试点项目扫描与扫描结果分析
审计专家根据调查结果,优化工具策略,对试点系统代码进行进一步扫描,以会议等形式为开发团队详细解读发现的各类安全及质量缺陷的原因、危害、代码中的路径位置,并制定《试点项目代码风险评估报告及修复建议》,提供可行的修复建议指导开发人员的修复工作。
5、制定安全编码规范
审计专家根据企业历史及试点项目扫描审计数据,对实施阶段发现的开发人员犯过以及易犯的问题进行分析,按照语言编制《源代码安全编码规范》,来指导开发人员编写更加安全的源代码,从开发阶段就防止绝大多数安全及质量问题,开发出更安全的应用系统。
6、制定源代码扫描基线
对企业及同行业关注的各类安全及质量缺陷,进行汇总分类,根据缺陷严重程度、企业关注程度、修复紧急度、修复难度等因素,划分为高、中、低、提示信息四个级别,制定企业自己的扫描策略基线,并集成到扫描工具中。
7、制定代码扫描管理规范及流程
审计专家对企业目前的代码安全管理现状和程序上线流程进行调研,考查如何将代码扫描管理流程与现有的开发上线流程进行有机结合。
调研完成后,结合同行业其他客户的经验、国际软件编码安全规范的要求与企业自身特点,制定《代码扫描管理规范及流程建议》,帮助企业更轻松的实现自己的代码扫描、管理、整改等流程。
8、培训
根据企业的需求,代码审计可提供多种形式的培训和丰富的培训内容,全部由多年项目实施经验以及培训经历的高级培训讲师进行授课,包括但不限于以下内容:
■ 代码扫描工具厂商的工具使用培训
■ 软件安全意识及应用安全基础培训
■ 安全开发技能培训
■ 软件安全编码原则培训
■ 重要漏洞分析与预防培训
■ 代码安全审计培训
■ 软件安全在线学习平台
■ 软件安全开发在线知识库
如需了解更为详细的内容, 请联系我们,我们的专家团队将会给您更为详细的内容及中肯的建议。
15901069612
021 6140 6003 827
200436
3485920235