源代码安全审计专家,自带工具或者使用客户方已有的代码扫描工具,到客户现场或通过远程网络方式。对用户被测系统的开发语言、框架、安全合规要求、业务风险要求等进行调查分析,确定安全扫描分析目标,根据客户使用的开发技术使用一种或多种源代码审计工具安全审计,并生成合规性报告 。详细流程如下:
1、系统架构风险调查
审计专家制定《系统源代码安全风险评估调查清单》,由系统开发团队填写提交,根据反馈内容进行访谈,了解被测系统语言、架构、合规要求等特征,分析提炼出系统薄弱点、易发问题、适合的扫描工具、扫描目标及扫描策略等。
2、扫描工具部署
用户根据审计团队提供的扫描工具部署环境需求,准备部署环境后,审计团队现场或者远程部署扫描工具,并根据系统架构风险调查结果进行调试和配置;
3、代码扫描及数据分析
使用优化的扫描配置对被测系统源代码进行扫描,整理汇总扫描结果,由代码审计专家对测试结果进行人工分析,制定《系统源代码安全风险评估及修复建议报告》;
4、解读问题及修复指导
审计专家通过与开发团队现场会议或者远程沟通的方式,对扫描分析出的问题的原因、危害、代码中的路径位置进行详细解读,并指导开发人员对问题进行修复;
5、回归测试
修复完成后,重新提交代码进行扫描审计,直至客户关注的问题全部得到修复。
6、报告及数据整理
制定《源代码安全审查总结报告》,汇总审计服务中发现的漏洞、需要修复的漏洞、开发团队的漏洞修复情况,以及遗留风险等信息。
并帮助用户对测试过程中的数据进行整理存档,清除测试环境中的各类过程数据,保证系统及测试数据的安全性和保密性。并根据行业合规性要求,出具合规性报告。
本文由端玛科技编写整理,转载请说明出处。端玛科技是专门从事于应用软件安全风险评估、风险消除、培训、教育和软件安全生命开发周期SDL咨询的软件安全公司,关注我们,学习更多应用安全相关知识。