针对定制开发的业务软件,通过源代码审计检测因编码造成的安全缺陷和漏洞。
源代码安全审计主要参照《信息安全技术-代码安全审计规范》和《C/C++语言源代码漏洞测试规范,对软件源代码进行审计,发现源代码中可能存在的安全功能缺陷、代码实现安全缺陷、资源使用安全缺陷、环境安全缺陷等,并提供代码修订措施和建议。
源代码安全审计通过利用专业安全审计工具,分析应用软件的语法、结构、过程、接口,借助数据流分析、控制流分析、语义分析、污点分析等技术, 跟踪用户输入数据,回溯敏感函数参数,可以对软件编码造成的安全缺陷进行检测和分析,与安全规则库进行匹对,对安全漏洞进行分类分级。同时结合人工审计,对安全缺陷进行分析和确认,同时提供相应的修改建议。