首页 >常见问题 >应用系统代码安全审查内容包含

应用系统代码安全审查内容包含

(*-*)浩
(*-*)浩原创
2019-10-25 10:45:305312浏览

信息系统源代码安全审查是对定制开发的应用程序源代码进行静态安全扫描和审查,识别可能导致安全问题的编码缺陷和漏洞的过程。

应用系统代码安全审查内容包含

信息系统源代码安全审查通过在测试机上部署应用系统开发环境,导入软件源代码进行。项目组在安全审查前期利用工具对源代码进行静态扫描,后期通过人工审查并分析扫描结果,确认源代码存在的安全隐患,并形成最终的源代码安全审查报告。

信息系统源代码安全审查内容   (推荐学习:web前端视频教程

输入验证与表示类:跨站脚本、SQL注入、拒绝服务等

代码质量:空指针调用、资源未释放等

API调用类:未检查空值、未检测返回值等

安全特性:口令管理、不安全的随机数等

时间与状态:代码错误、固定会话等

错误处理:过多的异常捕获、过多的抛出异常等

封装类:系统信息泄露等

环境类:口令管理等

信息系统源代码安全审查过程

共分为委托受理、准备、实施、评估、结题五个阶段。

委托受理阶段:售前与委托单位就源代码审查项目进行前期沟通,签署《保密协议》,接收被测单位提交的资料,协助被测单位填写《信息系统源代码安全审查基本情况调查表》,必要时由中心技术部门为委托单位提供技术咨询。前期沟通结束后,双方签署《信息系统源代码安全审查合同》。

准备阶段:项目经理组织编写《信息系统源代码安全审查方案》,就测试方案内容与委托单位进行沟通,确定信息系统源代码安全审查的具体日期、客户方配合的人员,通知客户做好测试前的准备工作。

审查的具体日期、客户方配合的人员,通知客户做好测试前的准备工作。   

实施阶段:项目经理明确项目组检测人员承担的测试项,按照被测单位提交的《信息系统源代码安全审查基本情况调查表》部署检测环境,为源代码安全审查做好准备工作。检测人员完成源代码安全扫描工作后,根据扫描结果,对源代码扫描结果进行分析审查。分析审查工作完成后,项目组成员应在监督员和客户的监督下,彻底清除检测设备中已装载的客户代码信息。

综合评估阶段:项目组整理源代码安全审查数据,编写《信息系统源代码安全审查报告》并就审查结果和客户进行沟通。

结题阶段:项目组将测评过程中生成的各类文档、过程记录进行整理,并自动归档保存。客户服务人员会邀请客户填写《客户满意度调查表》,收集客户反馈意见。

以上是应用系统代码安全审查内容包含的详细内容。更多信息请关注PHP中文网其他相关文章!

声明:
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn