資訊系統原始碼安全性審查是對自訂開發的應用程式原始程式碼進行靜態安全掃描和審查,識別可能導致安全問題的編碼缺陷和漏洞的過程。
資訊系統原始碼安全審查透過在測試機上部署應用系統開發環境,導入軟體原始碼進行。專案組在安全審查前期利用工具對原始程式碼進行靜態掃描,後期透過手動審查並分析掃描結果,確認原始程式碼存在的安全隱患,並形成最終的原始碼安全審查報告。
資訊系統原始程式碼安全審查內容 (建議學習:web前端視訊教學)
輸入驗證與表示類別:跨站腳本、 SQL注入、拒絕服務等
程式碼品質:空指標呼叫、資源未釋放等
API呼叫類別:未檢查空值、未偵測回傳值等
安全特性:口令管理、不安全的隨機數等
時間與狀態:代碼錯誤、固定會話等
錯誤處理:過多的異常捕獲、過多的拋出異常等
封裝類別:系統資訊外洩等
環境類別:口令管理等
資訊系統原始碼安全審查流程
共分為委託受理、準備、執行、評估、結題五個階段。
委託受理階段:售前與委託單位就原始碼審查項目進行前期溝通,簽署《保密協議》,接收被測單位提交的資料,協助被測單位填寫《資訊系統原始碼安全審查基本狀況調查表》,必要時由中心技術部門為委託單位提供技術諮詢。前期溝通結束後,雙方簽署《資訊系統原始碼安全審查合約》。
準備階段:專案經理組織撰寫《資訊系統原始碼安全審查方案》,就測試方案內容與委託單位進行溝通,確定資訊系統原始碼安全審查的具體日期、客戶方配合的人員,通知客戶做好測試前的準備工作。
審查的具體日期、客戶方配合的人員,通知客戶做好測試前的準備工作。
實施階段:專案經理明確專案組偵測人員承擔的測試項,依照被測單位提交的《資訊系統原始碼安全審查基本狀況調查表》部署偵測環境,為原始碼安全審查做好準備工作。偵測人員完成原始程式碼安全掃描工作後,根據掃描結果,對原始程式碼掃描結果進行分析審查。分析審查工作完成後,專案組成員應在監督員和客戶的監督下,徹底清除檢測設備中已裝載的客戶代碼資訊。
綜合評估階段:專案小組整理原始碼安全審查數據,撰寫《資訊系統原始碼安全審查報告》並就審查結果和客戶進行溝通。
結題階段:專案組將評量過程中產生的各類文件、流程記錄進行整理,並自動歸檔儲存。客戶服務人員會邀請客戶填寫《客戶滿意度調查表》,收集客戶回饋意見。
以上是應用程式系統程式碼安全審查內容包含的詳細內容。更多資訊請關注PHP中文網其他相關文章!