源代码安全检测

可为客户提供代码安全审计服务，信息安全团队采用分析工具和专业人工审查，审计时会从输入验证、身份认证、授权管理、会话管理、安全加密、错误处理、日志记录等多个方面对代码中的安全问题及安全编码规范问题进行审计，查缺补漏、优化质量，极大提高应用系统的安全系数，从根本上解决系统可能存在的漏洞、后门等安全问题。

服务范围

源代码审计服务的范围包括使用ASP、ASP.NET（VB/C#）、JSP（JAVA）、PHP等主流语言开发的B/S应用系统、使用C++、JAVA、C#、VB等主流语言开发的C/S应用系统，以及使用XML语言编写的文件、SQL语言和数据库存储过程等。

服务依据

GB/T 39412-2020《信息安全技术代码安全审计规范》

GB/T 34943-2017《C/C++语言源代码漏洞测试规范》

GB/T 34944-2017《Java语言源代码漏洞测试规范》

GB/T 34946-2017《C#语言源代码漏洞测试规范》

服务流程

服务内容

序号	测试项	测试说明
1	系统所用开源框架	包含java反序列化漏洞，导致远程代码执行。Spring、Struts2的相关安全。
2	应用代码关注要素	日志伪造漏洞，密码明文存储，资源管理，调试程序残留，二次注入，反序列化。
3	API滥用	不安全的数据库调用、随机数创建、内存管理调用、字符串操作，危险的系统方法调用。
4	源代码设计	不安全的域、方法、类修饰符未使用的外部引用、代码。
5	错误处理不当	程序异常处理、返回值用法、空指针、日志记录。
6	直接对象引用	直接引用数据库中的数据、文件系统、内存空间。
7	资源滥用	不安全的文件创建／修改／删除，竞争冲突，内存泄露。
8	业务逻辑错误	欺骗密码找回功能，规避交易限制,越权缺陷Cookies和session的问题。
9	规范性权限配置	数据库配置规范，Web服务的权限配置SQL语句编写规范。

服务优势

具备CNAS、CMA资质，可出具quanwei报告

具备CCRC风险评估、安全集成、安全运维、应急处置服务资质，可出具相关检测报告

具备ISO 27001、ISO 20000、ISO 9001等服务资质，管理体系完善

提供“咨询-检测-运营-培训”一站式信息安全技术服务

拥有多名国际专家，核心团队来自于头部安全公司和检测机构，具有丰富的行业资源和技术能力，具备zishen的国际认证咨询和检测

服务经验

主导和参与国家、行业、团体标准修订100+项，其中信息安全领域15项

提供“标准化+定制化”特色服务

承担通信、电力、轨道交通、汽车、金融、医疗、能源、政企、jungong等领域大型项目，服务经验丰富

全国布局五大实验室，辐射全国提供服务，提供就近就地、快速响应的服务

客户收益

明确安全隐患点

提高安全开发意识

提高应用系统自身安全防护能力

降低软件缺陷修复成本

降低源代码出现的安全漏洞

关于我们

中析研究所材料实验室提供：

材料力学性能测试, 材料化学成分分析, 材料微观结构分析, 材料热性能测试, 材料电性能测试, 材料光学性能测试, 材料环境适应性测试, 材料表面处理性能评估, 材料腐蚀与磨损测试, 材料老化性能测试, 材料粘接性能测试, 材料导热性能测试, 材料声学性能测试, 材料磁性能测试

中析研究所生物实验室提供：

基因组测序项目, 蛋白质结构预测项目, 细胞信号传导研究项目, 神经生物学研究项目, 免疫学研究项目, 微生物基因组学项目, 植物遗传改良项目, 动物疾病模型建立项目, 药物筛选与开发项目, 环境微生物研究项目, 生物材料研发项目, 基因治疗研究项目, 代谢组学研究项目, 生物信息学分析项目。

中析研究所机械性能实验室提供：

腐蚀实验，非标试验，性能测试，强度检测，老化寿命，抗风实验，抗震实验，电磁干扰，噪声检测，光污染测试，无损检测，模拟环境试验等等。

by NianGao

展开全文

相关产品