什么是代碼審計(jì)？

代碼審計(jì)顧名思義就是檢查源代碼中的安全缺陷，檢查程序源代碼是否存在安全隱患，或者有編碼不規(guī)范的地方，通過(guò)自動(dòng)化工具或者人工審查的方式，對(duì)程序源代碼逐條進(jìn)行檢查和分析，發(fā)現(xiàn)這些源代碼缺陷引發(fā)的安全漏洞，并提供代碼修訂措施和建議。

代碼審計(jì)（Code audit）是一種以發(fā)現(xiàn)程序錯(cuò)誤，安全漏洞和違反程序規(guī)范為目標(biāo)的源代碼分析。軟件代碼審計(jì)是對(duì)編程項(xiàng)目中源代碼的分析，旨在發(fā)現(xiàn)錯(cuò)誤，安全漏洞或違反編程約定。 它是防御性編程范例的一個(gè)組成部分，它試圖在軟件發(fā)布之前減少錯(cuò)誤。 C和C 源代碼是常見(jiàn)的審計(jì)代碼，因?yàn)樵S多語(yǔ)言（如Python）具有較少的潛在易受攻擊的功能（例如，不檢查邊界的函數(shù)）。

商業(yè)化源代碼審計(jì)工具對(duì)比

近年來(lái)，大部分安全問(wèn)題來(lái)自于應(yīng)用層安全，應(yīng)用層的安全問(wèn)題主要由軟件源代碼中的安全缺陷所導(dǎo)致。有關(guān)源代碼安全的研究越來(lái)越多，源代碼安全成為了解決信息安全問(wèn)題的一個(gè)重要方向，也是信息安全中的一個(gè)新興領(lǐng)域。

在開發(fā)階段引入代碼檢測(cè)解決安全問(wèn)題的思路開始被很多企業(yè)所認(rèn)可。源代碼檢測(cè)屬于程序分析領(lǐng)域，需要具有相關(guān)領(lǐng)域的技術(shù)儲(chǔ)備，很多傳統(tǒng)的安全廠商都沒(méi)有相關(guān)的商業(yè)化技術(shù)產(chǎn)品。網(wǎng)上有很多開源的審計(jì)工具，但檢測(cè)能力、檢測(cè)精度較差，本文結(jié)合多年對(duì)源代碼檢測(cè)產(chǎn)品的了解，介紹三款較為成熟的商業(yè)化源代碼檢測(cè)產(chǎn)品。

Fortify Software公司是一家總部位于美國(guó)硅谷，致力于提供應(yīng)用軟件安全開發(fā)工具和管理方案的廠商。Fortify為應(yīng)用軟件開發(fā)組織、安全審計(jì)人員和應(yīng)用安全管理人員提供工具并確立佳的應(yīng)用軟件安全實(shí)踐和策略，幫助他們?cè)谲浖_發(fā)生命周期中花少的時(shí)間和成本去識(shí)別和修復(fù)軟件源代碼中的安全隱患。

Checkmarx 是以色列的一家高科技軟件公司。它的產(chǎn)品CheckmarxCxSuite專門設(shè)計(jì)為識(shí)別、跟蹤和修復(fù)軟件源代碼上的技術(shù)和邏輯方面的安全風(fēng)險(xiǎn)。了以查詢語(yǔ)言定位代碼安全問(wèn)題，其采用的詞匯分析技術(shù)和CxQL查詢技術(shù)來(lái)掃描和分析源代碼中的安全漏洞和弱點(diǎn)。

360代碼衛(wèi)士是360企業(yè)安全集團(tuán)基于多年源代碼安全實(shí)踐經(jīng)驗(yàn)推出的新一代源代碼安全檢測(cè)解決方案，包括源代碼缺陷檢測(cè)、合規(guī)檢測(cè)、溯源檢測(cè)三大檢測(cè)功能，同時(shí)360代碼衛(wèi)士還可實(shí)現(xiàn)軟件安全開發(fā)生命周期管理，與企業(yè)已有代碼版本管理系統(tǒng)、缺陷管理系統(tǒng)、構(gòu)建工具等無(wú)縫對(duì)接，將源代碼檢測(cè)融入企業(yè)開發(fā)流程，實(shí)現(xiàn)軟件源代碼安全目標(biāo)管理、自動(dòng)化檢測(cè)、差距分析、Bug修復(fù)等功能，幫助企業(yè)以小代價(jià)建立代碼安全保障體系并落地實(shí)施，構(gòu)筑信息系統(tǒng)的“內(nèi)建安全”。

金融行業(yè)用戶源代碼安全審計(jì)服務(wù)

案例背景

某銀行內(nèi)部軟件多數(shù)由外包公司開發(fā)，存在開發(fā)人員水平參次不齊，安全意識(shí)薄弱，軟件安全方面投入不足等問(wèn)題，以及該銀行相對(duì)單一的安全測(cè)試方法和管理人員缺乏對(duì)軟件安全等級(jí)的驗(yàn)證能力，因此在程序源碼層面依舊存在大量安全問(wèn)題。

針對(duì)用戶需求，通過(guò)源代碼安全審計(jì)服務(wù)，挖掘應(yīng)用系統(tǒng)隱蔽漏洞，并提出解決方案，以保證用戶系統(tǒng)安全。

服務(wù)流程

對(duì)用戶實(shí)施的源代碼安全審計(jì)服務(wù)流程分為準(zhǔn)備階段、熟悉階段、分析審核階段和總結(jié)報(bào)告階段。

?準(zhǔn)備階段

簽署保密協(xié)議、調(diào)研基本情況、熟悉代碼和搭建審計(jì)環(huán)境。

?熟悉階段

熟悉系統(tǒng)整體架構(gòu)和各個(gè)業(yè)務(wù)流程等。

?分析審核階段

工具輔助檢測(cè)、人工分析、靜態(tài)分析、動(dòng)態(tài)分析、綜合分析和人工驗(yàn)證。

?總結(jié)報(bào)告階段

發(fā)現(xiàn)并確認(rèn)風(fēng)險(xiǎn)后，對(duì)風(fēng)險(xiǎn)進(jìn)行分析和編寫代碼審計(jì)報(bào)告，包括漏洞名稱、漏洞級(jí)別、漏洞數(shù)量、問(wèn)題文件、審計(jì)過(guò)程、風(fēng)險(xiǎn)分析和修復(fù)建議。

代碼審計(jì)的應(yīng)用

源代碼作為企業(yè)核心商業(yè)，受到了高度重視和保護(hù)。然而由于其自身存在的安全缺陷、軟件缺乏安全設(shè)計(jì)、不良的編程習(xí)慣等因素，使得注入、敏感信息泄露、命令執(zhí)行等風(fēng)險(xiǎn)漏洞頻頻發(fā)生，給金融行業(yè)造成重大損失。因此，對(duì)源代碼進(jìn)行安全審計(jì)、提前發(fā)現(xiàn)系統(tǒng)漏洞、找出應(yīng)用系統(tǒng)潛在風(fēng)險(xiǎn)、給出相應(yīng)安全報(bào)告和修復(fù)方法成為提升用戶應(yīng)用系統(tǒng)安全性、保障軟件源代碼、設(shè)計(jì)、開發(fā)和應(yīng)用的重要手段。

多年來(lái)持續(xù)深耕金融行業(yè)，始終為廣大金融行業(yè)用戶提供高質(zhì)量的產(chǎn)品和服務(wù)，源代碼安全審計(jì)服務(wù)作為專項(xiàng)技術(shù)檢測(cè)服務(wù)的重點(diǎn)內(nèi)容，已在諸多金融行業(yè)項(xiàng)目中得到實(shí)踐運(yùn)用，獲得用戶一致認(rèn)可。