代码审计方案

代码审计我司为 XXXXXX 提供信息系统所有代码进行整体的安全审计。发现(源)代码存在的安全漏洞，并对导致安全漏洞的错误代码进行定位和验证，提供修复方案。语言方面可以支持：Java,JSP,C，C++,.NET(C#),XML，ASP,PHP，JS,VB 等。运行环境支持：Windows，RedHatLinux，Ubuntu，Centos，麒麟 Linux 等主流系统。服务期内对：XXXXXX提供 1 次代码审计，并提交相应次数的《(源)代码审计报告》。代码审计服务内容代码审计服务的范围包括使用 Java,JSP，C，C++,.NET(C#),XML，ASP，PHP，JS,VB 等主流语言开发的 B/S、C/S 应用系统，以及使用 XML 语言编写的文件、SQL 语言和数据库存储过程等，运行环境支持Windows,RedHatLinux,Ubuntu,Centos,麒麟 Linux 等主流系统。源代码安全审计服务从数据流分析、控制流分析、语义分析、配置分析、结构分析等五个方面全面分析软件源代码安全问题。借助源代码分析工具，针对信息系统源代码扫描、分析，语言方面可以支持：Java/JSPC/C++,.NET 平台，TSQL/PLSQL,ColdFusion,XML,CFML,ASP,PHP,JS,VB等。操作系统方面支持：Windows,Solaris,RedHatLinux,MacOSX,HP-UX,IBMAIX 等并对导致安全漏洞的错误代码进行定位和验证，提供修复方案。代码审计服务参考标准CVE(CommonVulnerabilities&Exposures)公共漏洞字典表OWASP(OpenWebApplicationSecurityProject 公共漏洞字典表《软件安全开发标准》(ISO/IEC27034)《独立审计准则第 20 号-计算机信息系统环境下的审计》《审计署关于印发信息系统审计指南的通知》（审计发【2012】11 号）审计分类整体代码审计整体代码审计是指代码审计服务人员对被审计系统的所有源代码进行整体的安全审计，代码覆盖率为 100%，整体代码审计采用源代码扫描和人工分析确认相结合的方式进行分析，发现源代码存在的安全漏洞。但整体代码审计属于白盒静态分析,仅能发现代码编写存在的安全漏洞，无法发现业务功能存在的缺陷。功能点人工代码审计功能点人工代码审计是对某个或某几个重要的功能点的源代码进行人工代码审计，发现功能点存在的代码安全问题。功能点人工代码审计需要收集系统的设计文档、系统开发说明书等技术资料，以便代码审计服务人员能够更好的了解系统业务功能。由于人工代码审计工作量极大，所以需要分析并选择重要的功能点，有针对性的进行人工代码审计。审计工具FortifySCAFortifySCA 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要...