?    服務(wù)介紹

      代碼審計是指檢查源代碼中的安全缺陷，檢查程序源代碼是否存在安全隱患，或者編碼不規(guī)范的地方。通過自動化工具和人工審查的方式，對程序源代碼逐條進行檢查和分析，從根源上分析由源代碼缺陷引發(fā)的安全漏洞，并提供代碼修訂措施和建議，指導(dǎo)開發(fā)人員正確修復(fù)程序缺陷。

      為了提高系統(tǒng)的可靠性和安全性，減少潛在的風(fēng)險，以下幾種情況建議做代碼審計：即將上線的新系統(tǒng)平臺；存在大量用戶訪問、高可用、高并發(fā)請求的網(wǎng)站；存在用戶資料等敏感機密信息的信息系統(tǒng)；存在業(yè)務(wù)邏輯問題的信息系統(tǒng)。

?    服務(wù)意義

      系統(tǒng)所需：

      新上線系統(tǒng) —— 新上線系統(tǒng)如未通過系統(tǒng)的安全性評估可能存在未知漏洞，上線后容易被黑客利用。代碼審計可以充分在開發(fā)測試階段進行源代碼檢查，提高代碼質(zhì)量、從源頭杜絕安全漏洞，避免系統(tǒng)剛上線就遇到重大攻擊。

      已運行系統(tǒng) —— 代碼審計可先于黑客發(fā)現(xiàn)系統(tǒng)的安全問題、安全風(fēng)險及安全編碼問題。通過提前排除應(yīng)用系統(tǒng)的安全隱患、部署防御措施，大幅提升現(xiàn)有系統(tǒng)的安全性。

      客戶所得：

      明確安全隱患點 —— 可以從源碼角度切入，明確哪部份代碼可能含有可利用的脆弱性。

      提高安全意識與技能 —— 通過專業(yè)的代碼審計報告以及在服務(wù)過程中的交互溝通，能為開發(fā)人員提供安全問題的建議解決方案，強化安全意識，提高安全開發(fā)技能，協(xié)助完善代碼安全開發(fā)規(guī)范，降低整體風(fēng)險。

?    服務(wù)步驟

      主要分為四個階段，包括代碼審計前期準備階段、實施階段、復(fù)測階段以及項目交付。

      準備階段：前期與客戶技術(shù)人員溝通，開展基本情況調(diào)研，確認代碼審計范圍、審計方式、審計要求和時間等內(nèi)容。

      實施階段：使用自動化代碼審計工具進行代碼掃描，技術(shù)人員人工審計，對程序源代碼逐條進行檢查和分析；整理審計結(jié)果，輸出初測報告。

      復(fù)測階段：提供系統(tǒng)整改修復(fù)建議；經(jīng)客戶整改或加固后，驗證修復(fù)方案和修復(fù)代碼的有效性。

      項目交付：根據(jù)初次代碼審計結(jié)果和復(fù)測結(jié)果，編制《代碼審計報告》與客戶確認，完成交付。

?    服務(wù)流程