代码审计

所有的安全漏洞都是由计算机程序代码造成的,从程序的业务功能、技术架构、代码着手,才能全面、高效、有效的发掘安全漏洞。代码审计适用于对安全水准要求较高,已经做过一些黑盒安全措施的系统。我们拥有世界顶尖的安全技术团队,为客户提供专家级的代码审计服务,深入全面分析信息系统的源代码,深入挖掘复杂和多变的各类技术以及业务逻辑层面的安全缺陷,提供黑盒漏洞扫描和渗透测试服务所无法达到的深度和广度
白盒代码审计

全面覆盖

代码中包含了软件系统所有的功能和逻辑细节以及安全漏洞。通过自动化和人工结合的代码安全审计,可以实现接近于100%覆盖率的安全漏洞挖掘

快捷高效

通过自动化工具,可以快速发掘大量潜在安全漏洞,再结合人工深度代码审计,并扩展和验证工具的发现,综合效率明显高于黑盒渗透测试

易于修复

修复漏洞,就是修复代码中错误。代码安全审计,从代码中发现问题,并在报告中提供准确、直观的代码级修复方法,让开发人员轻松高效、水到渠成地修复漏洞
业务流程

系统评估

通过访谈、问卷、文档研读等手段,收集系统当前的业务、技术、安全等信息,同时充分了解客户的具体审计需求、侧重点

方案设计

根据系统业务、技术特性和审计目标,和客户一起商讨确定审计策略、重点、工作量和日程

审计实施

根据预定方案具体实施代码审计工作。审计对象包括系统的代码、业务和技术文档等

报告及支持

审计报告中包含详细的漏洞及修复方案信息。培训及技术支持,帮助客户理解和修复漏洞
系统评估

方式

  • 与客户进行访谈、会议
  • 通过产品和技术信息问卷收集目标系统关键信息
  • 研读目标系统的业务需求文档、架构设计文档等

内容

  • 了解系统基本业务功能和模块
  • 熟悉系统架构和主要技术选型、系统规模、现有安全措施
  • 了解客户对于代码审计工作的主要诉求

目标

  • 为代码审计实施方案的制定收集充分的信息,保证方案设计有备而来、有的放矢
文档需求表示例
项目 内容 子项
完整系统源代码 系统源代码
项目工程文件
依赖类库
测试系统环境 网络地址
访问方式
测试帐号
业务系统材料 系统介绍 应用系统功能及技术架构介绍
应用系统外部关联和集成关系
功能列表 业务功能与代码文件对应列表
开发文档 产品功能需求规格说明书
系统概要设计说明书
用户权限说明文档
系统外部接口依赖文档
用户操作手册
系统运维流程
方案设计策略
实施方案局部示例
项目实施流程
客户准备好待分析的完整项目程序代码,交付给安珀科技
安珀科技使用自动化工具对代码进行扫描,得到扫描结果
安全专家针对审计重点,进行深度人工代码审计,并复查和拓展工具的扫描结果
综合工具和专家的发现,出具代码审计报告,给出漏洞详情和修复方法
审计报告局部示例一

审计报告局部示例二

面向开发工程师的代码级修复方案

修复漏洞,就是修复代码中错误。我们的代码安全审计报告中,不仅仅包含常规的漏洞原因及修复方法分析,更是直接提供了代码级的解决方案,真正面向开发人员,既授之以渔,也授之以鱼,大大提高了漏洞修复的效率和专业水准
技术支持

报告讲解

我们会为客户详细讲解每个安全漏洞,保证问题的原因以及危害得到清晰的理解

解决方案探讨

我们会协助客户的软件工程师理解每个安全漏洞的解决方案,以保证问题能得到及时、全面、正确的修复

安全开发库

如果客户的工程师缺乏安全专业知识,难以独立完成漏洞修复工作,我们还提供了专家级的安全库,让工程师使用现成的安全API和框架,轻松、高效、专业的完成安全漏洞修复