源代码安全审计能够降低源代码出现的安全漏洞,构建安全的代码,提高源代码的可靠性,提高应用系统自身安全防护能力。源代码安全检测能够帮助开发人员提高源代码的质量,从底层保障应用系统本身的安全,进一步符合国家对信息化产品“自主、可控”的要求。

  •         信息安全等级保护基本要求

    软件安装之前检测软件包中可能存在的恶意代码,开发单位提供软件源代码,并审查软件中可能存在的后门

  •         网上银行系统信息安全通用规范(试行)

    外包方开发的客户端程序要进行代码安全测试并须通过第三方中立测试机构的安全检测

  •          支付卡行业数据库安全标准(PCI DSS)

    在发布生产以前检查自定义代码,以识别所有潜在的编码漏洞

  •         深圳市政务信息化项目检测与验收管理办法

    第十三条:在系统开发完成上线前或系统源代码发生变化后,完成系统源代码安全审查,形成源代码安全审查报告

服务内容

■ 安全功能缺陷审查:访问控制、日志安全

 代码实现安全缺陷审查:并发程序安全、指针安全

 资源使用安全缺陷审查:资源管理、内存管理

 环境安全缺陷审查:第三方软件安全可靠、保护重要配置信息、遗留调试代码

服务标准

■ GB/T 25000.51-2016 《系统与软件工程 系统与软件质量要求和评价(SQuaRE) 第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》

 GB/T 39412-2020 信息安全技术代码安全审计规范 

 GB/T 34944-2017 Java语言源代码漏洞测试规范

 GB/T 34943-2017 C/C++语言源代码漏洞测试规范

 GB/T 34946-2017C#语言源代码漏洞测试规范

 OWASP 代码检测指南V2.0中文版

 

源代码安全审计服务模型