@
2年前 提问
1个回答

代码安全审计如何操作

Simon
2年前
  1. 确定审计策略,审计策略主要考虑的是代码开发语言、架构、安全审计质量准则或出口准则、检测效率等;安全审计质量准则/出口准则需要考虑检测工具是否能够满足对检测质量要求,也就是对于检测项的覆盖,同时工具应该具有弹性扩展。

  2. 部署环境,主要考虑代码审计工具能够适合公司所有的物理环境,包括网络、服务器、工具兼容性等;

  3. 工具扫描,主要考虑代码工具的技术指标,例如工具支持的开发语言、检测精度、效率,是否支持迭检测、CI模式下检测等;

  4. 人工复核,主要考虑人工复核的工作量,检测结果是否容易复核。这就要求检测工具精度高、结果容易检查、误报少;

  5. 审计结果和报告,主要考虑的是根据需要是否能够自动产生审计结果、审计报告,报告能够根据需要求孽缘定制;检测结果和报告,中文显示,便于阅读。检测过程能够跟踪,回溯。

  6. 出口准则,能够根据代码审计需要制定审计范围、选择审计安全漏洞的严重程度级别。检测完成,能够判断是否满足选择的出口准则,便于快速决策。

  7. 开发修复,主要考虑检测结果是否便于开发人员修复、安全漏洞能够快速定位、提示信息准确、甚至能够自动进行修复或给出修复检查代码。检测精度高,误报少,漏报少,这就要求检测工具比较成熟,且得到国际公认组织的认证、认可,符合国际、国内主流标准。同时,对于开发团队确认和修复代码可以提供培训和支持。