代码审计服务

程序的安全性是否有保障很大程度上取决于程序代码的质量，而保证代码质量最快捷有效的手段就是源代码审计。

一、服务内容

源代码审计服务人员对被审计系统的所有源代码进行整体的安全审计，整体源代码审计采用源代码扫描和人工分析确认相结合的方式进行分析，发现源代码存在的安全漏洞。

二、服务方式

1、现场审计

由客户提供代码审计专用电脑设备，源码信息均放置于客户提供的专用审计电脑中， 截图与相关代码审计过程文档，留存于专用审计机器中，最终由客户决定，在审计机器中完成报告撰写或将过程文档拷贝至工程师电脑进行撰写。 审计工作完成后，由工程师进行审计环境工具卸载及回收工作。

2、远程审计

由客户通过特殊渠道或存储介质，如：光盘、特定 U 盘、企业邮箱等形式，将源代码 信息拷贝至源代码审计服务人员手中，审计服务人员进行后续代码审计工作，并在审计完成后，归还存储介质，清除相关代码信息等内容。

三、审计内容

源代码审计（Code Review）是由具备丰富编码经验并对安全编码原则及应用安全具有 深刻理解的安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。

测试内容包括以下内容：

1、源代码扫描审计及人工识别

该内容是指源代码审计服务人员对被审计系统的所有源代码进行整体的安全审计，整体源代码审计采用源代码扫描和人工分析确认相结合的方式进行分析，发 现源代码存在的安全漏洞。

2、系统业务调研

该内容是从业务层面去了解系统整体业务功能情况、业务运作模式、业务应用对象、对应可进行的操作及操作场景。

3、业务威胁分析

该内容是从业务层面结合应用场景、安全功能威胁等信息。

4、定制业务流程分析

该内容是从业务层面去分析系统的安全状况，从业务安全出发结合调研后的业务场景、业 务对应及业务模式，分析现有系统运作过程中安全控制措施有效性以及面临的业务威胁风险。

四、项目保密管理

保密协议签订

审计工作前期，参与审计服务的人员与客户共同签订保密协议文档。