专家现场及网络安全分析

源代码安全审计专家,自带工具或者使用客户方已有的代码扫描工具,到客户现场或通过远程网络方式。对用户被测系统的开发语言、框架、安全合规要求、业务风险要求等进行调查分析,确定安全扫描分析目标,根据客户使用的开发技术使用一种或多种源代码审计工具安全审计,并生成合规性报告 。详细流程如下:

1、系统架构风险调查

审计专家制定《系统源代码安全风险评估调查清单》,由系统开发团队填写提交,根据反馈内容进行访谈,了解被测系统语言、架构、合规要求等特征,分析提炼出系统薄弱点、易发问题、适合的扫描工具、扫描目标及扫描策略等。

2、扫描工具部署

用户根据审计团队提供的扫描工具部署环境需求,准备部署环境后,审计团队现场或者远程部署扫描工具,并根据系统架构风险调查结果进行调试和配置;

3、代码扫描及数据分析

使用优化的扫描配置对被测系统源代码进行扫描,整理汇总扫描结果,由代码审计专家对测试结果进行人工分析,制定《系统源代码安全风险评估及修复建议报告》;

4、解读问题及修复指导

审计专家通过与开发团队现场会议或者远程沟通的方式,对扫描分析出的问题的原因、危害、代码中的路径位置进行详细解读,并指导开发人员对问题进行修复;

5、回归测试

修复完成后,重新提交代码进行扫描审计,直至客户关注的问题全部得到修复。

6、报告及数据整理

制定《源代码安全审查总结报告》,汇总审计服务中发现的漏洞、需要修复的漏洞、开发团队的漏洞修复情况,以及遗留风险等信息。

并帮助用户对测试过程中的数据进行整理存档,清除测试环境中的各类过程数据,保证系统及测试数据的安全性和保密性。并根据行业合规性要求,出具合规性报告。

本文由端玛科技编写整理,转载请说明出处。端玛科技是专门从事于应用软件安全风险评估、风险消除、培训、教育和软件安全生命开发周期SDL咨询的软件安全公司,关注我们,学习更多应用安全相关知识。

相关推荐
风中芦苇啊1 小时前
从直接生成到受控配置:新一代图表Agent的SQL安全生成范式
数据库·sql·安全
泛普软件1 小时前
企业项目管理软件如何选型?统筹多项目资源把控交付与盈利水平
大数据·安全
andxe2 小时前
安科士AndXe 400G QSFP-DD LR8光模块芯片架构与品控体系解析
网络·光模块·光通信
去码头整点薯条982 小时前
网络实验报告10
网络
坚定的共产主义生产设备永不宕机2 小时前
路由协议OSPF进阶一篇讲全
网络
碎碎念_4924 小时前
以太网技术、VLAN、STP详解
网络·stp·vlan
云水一下4 小时前
DVWA从入门到精通(四):CSRF(跨站请求伪造)
安全·csrf·dvwa
tuddy7894644 小时前
Codex++ 安全边界探秘:从模型能力到风险防御
人工智能·python·安全
hbugs0014 小时前
【案例分享】全网首个华三数据中心流量可视化实验,基于EVE-NG V7平台
网络·网络协议·安全·devops·eve-ng
深盾科技_Virbox4 小时前
深盾科技·Virbox产品体系全景解读:软件安全如何从加密锁走向全生命周期
java·大数据·算法·安全·软件需求