EN
企业微信截图_17231063188969
  • 源代码审计(Code Review)是由具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。 源代码审计服务的目的在于充分挖掘当前代码中存在的安全缺陷以及规范性缺陷,从而让开发人员了解其开发的应用系统可能会面临的威胁,并指导开发人员正确修复程序缺陷。
    源代码审计是什么?
    源代码审计(Code Review)是由具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。 源代码审计服务的目的在于充分挖掘当前代码中存在的安全缺陷以及规范性缺陷,从而让开发人员了解其开发的应用系统可能会面临的威胁,并指导开发人员正确修复程序缺陷。
  • 在漏洞挖掘过程中有两种重要的漏洞挖掘技术,分别是源代码审计和模糊测试。源代码审计是通过静态分析程序源代码,找出代码中存在的安全性问题;而模糊测试则需要将测试代码执行起来,然后通过构造各种类型的数据来判断代码对数据的处理是否正常,以发现代码中存在的安全性问题。
    源代码审计与模糊测试区别
    在漏洞挖掘过程中有两种重要的漏洞挖掘技术,分别是源代码审计和模糊测试。源代码审计是通过静态分析程序源代码,找出代码中存在的安全性问题;而模糊测试则需要将测试代码执行起来,然后通过构造各种类型的数据来判断代码对数据的处理是否正常,以发现代码中存在的安全性问题。
服务内容
  • 包括反序列化漏洞,远程代码执行漏洞,spring、struts2安全漏洞,PHP安全漏洞等。
    系统所用开源框架
    包括反序列化漏洞,远程代码执行漏洞,spring、struts2安全漏洞,PHP安全漏洞等。
  • 日志伪造漏洞,密码明文存储,资源管理,调试程序残留,二次注入,反序列化。
    应用代码关注要素
    日志伪造漏洞,密码明文存储,资源管理,调试程序残留,二次注入,反序列化。
  • 不安全的数据库调用、随机数创建、内存管理调用、字符串操作,危险的系统方法调用。
    API滥用
    不安全的数据库调用、随机数创建、内存管理调用、字符串操作,危险的系统方法调用。
  • 程序异常处理、返回值用法、空指针、日志记录。
    错误处理不当
    程序异常处理、返回值用法、空指针、日志记录。
  • 不安全的域、方法、类修饰符未使用的外部引用、代码。
    源代码设计
    不安全的域、方法、类修饰符未使用的外部引用、代码。
  • 直接引用数据库中的数据、文件系统、内存空间。
    直接对象引用
    直接引用数据库中的数据、文件系统、内存空间。
  • 不安全的文件创建/修改/删除,竞争冲突,内存泄露。
    资源滥用
    不安全的文件创建/修改/删除,竞争冲突,内存泄露。
  • 欺骗密码找回功能,规避交易限制,越权缺陷Cookies和session的问题。
    业务逻辑错误
    欺骗密码找回功能,规避交易限制,越权缺陷Cookies和session的问题。
  • 数据库配置规范,Web服务的权限配置SQL语句编写规范。
    规范性权限配置
    数据库配置规范,Web服务的权限配置SQL语句编写规范。
了解更多服务,免费获取解决方案
企业做代码审计带来的好处!
  • 明确安全隐患点
    可以从整套源码切入最终明确至 某个威胁点并加以验证
    可以从整套源码切入最终明确至 某个威胁点并加以验证
  • 有效督促管理人员杜绝任何一处 小的缺陷,从而降低整体风险
    提高安全意识
    有效督促管理人员杜绝任何一处 小的缺陷,从而降低整体风险
  • 提升开发人员安全技能
    通过审计报告,以及安全人员与开发 人员的沟通,开发人员更好的完善代 码安全开发规范
    通过审计报告,以及安全人员与开发 人员的沟通,开发人员更好的完善代 码安全开发规范
了解更多服务,免费获取解决方案
我们的服务特点
  • 格修科技可以为客户提供约定期限内的全程化源代码审计服务。服务的过程不仅仅是帮助客户发现问题,也会为客户的问题修补提供专业的建议和指导,做到问题发现、修补、验证的全程跟踪,每一次服务都会在前一次的基础上寻找新的突破口,力求最大程度地保证审计目标的安全。
    全程化服务,有效保证服务质量
    格修科技可以为客户提供约定期限内的全程化源代码审计服务。服务的过程不仅仅是帮助客户发现问题,也会为客户的问题修补提供专业的建议和指导,做到问题发现、修补、验证的全程跟踪,每一次服务都会在前一次的基础上寻找新的突破口,力求最大程度地保证审计目标的安全。
  • 格修科技有着专业的安全服务团队,团队成员无论是在风险评估、安全加固、渗透测试,还是在源代码审计等领域均有着丰富的经验,所有问题的解决方案均由团队成员根据多年经验总结而来,方案确实可行。
    专家级解决方案,一切以解决问题为目标
    格修科技有着专业的安全服务团队,团队成员无论是在风险评估、安全加固、渗透测试,还是在源代码审计等领域均有着丰富的经验,所有问题的解决方案均由团队成员根据多年经验总结而来,方案确实可行。
  • 在格修科技为客户打造的年度服务方案中,服务人员第一次源代码审计的结果将会成为后续审计服务的参考依据,避免了单次服务中每次都会为某一特定问题所累,节省了审计时间,同时也降低了客户在每个阶段的投入。
    降低成本,节省投资
    在格修科技为客户打造的年度服务方案中,服务人员第一次源代码审计的结果将会成为后续审计服务的参考依据,避免了单次服务中每次都会为某一特定问题所累,节省了审计时间,同时也降低了客户在每个阶段的投入。
了解更多服务,免费获取解决方案
我们的服务流程

为客户提供新一代的安全产品和服务

全国1000+大型客户共同的选择

你信任的品牌,都信赖格修

  • 高校与科研院所

  • 政府与公共事业机构

  • 大型企业集团

  • 医疗机构

  • 软件企业

  • 国际与港澳客户

<
>
了解更多服务,免费获取解决方案
企业资质和荣誉

你信任的品牌,都信赖格修

项目案例

CMA、CNAS、CCRC专业资质,出具权威检测报告,全国通用

为1000+大型客户,1000万+台服务器
提供稳定高效的安全防护
support@knowdosec.com 
如何购买
描述
Copyright © 2021-2025 格修科技(北京)有限公司绵阳分公司All rights reserved.
蜀ICP备2025130243号-1
img_load
400-890-96683
咨询热线:
关注格修