背景介紹

近年來，信息系統的安全形勢愈發嚴重，僅僅依靠外部的安全防護手段來保障信息系統的安全也逐漸力不從心。目前信息安全的主要問題體現在應用軟件上，分析和審計軟件代碼將是保證應用軟件安全的一個最有效的方法。代碼安全審計是以發現應用程序編碼過程中造成的安全漏洞為目的，通過代碼靜態分析工具，對已有的代碼進行檢測和分析，并對導致安全漏洞的錯誤代碼進行定位和驗證，提供加強軟件安全和提高性能的方法和建議，從而從根源上解決信息系統的安全隱患。

參考依據

《中華人民共和國網絡安全法》

GB/T 34943-2017《C/C++語言源代碼漏洞測試規范》

GB/T 34946-2017《C#語言源代碼漏洞測試規范》

GB/T 34944-2017 《Java語言源代碼漏洞測試規范》

《信息安全技術 代碼安全審計規范(征求意見稿)》

GB/T 28448-2012 《信息安全技術 信息系統安全等級保護測評要求》

ISO/IEC 27034 《軟件安全開發標準》

CVE(Common Vulnerabilities & Exposures)公共漏洞字典表

《CWE List Version 4.0》

審計內容

1. 環境與封裝

2. API調用

3. 行為安全

4. 初始化與清理環節

5. 錯誤處理

6. 時間和狀態

7. 通用安全特性

8. 數據處理

9. 業務功能安全審查

10. 代碼質量

審計流程

審計準備

確定測試的目標、范圍、依據、環境和工具，分析與評估測試風險，并制定應對措施。

方案設計

結合被測代碼的業務和技術特點，明確測試環境和工具，確定測試需求、測試方法、測試內容、測試準入條件和測試準出條件。

審計實施

根據測試用例明確的操作步驟，使用自動化靜態分析工具執行測試，再對自動化靜態分析工具的測試結果進行人工分析。

報告編寫

核査測試環境、內容、方法和結果是否正確，確認測試目標和測試需求是否得到滿足，總結測試內容、方法和結果從而編寫報告。