首页
安全服务
漏洞扫描服务
渗透测试服务
源代码审计服务
信息系统安全测评
信息安全风险评估
APP安全测试服务
应急响应服务
软件测试
第三方软件测评
软件登记测试
软件鉴定测试
软件确认测试
软件性能测试
软件验收测试
解决方案
一站式等级保护解决方案
关于我们
公司简介
首页
安全服务
漏洞扫描服务
渗透测试服务
源代码审计服务
信息系统安全测评
信息安全风险评估
APP安全测试服务
应急响应服务
软件测试
第三方软件测评
软件登记测试
软件鉴定测试
软件确认测试
软件性能测试
软件验收测试
安全产品
下一代防火墙
Web应用防火墙
运维安全审计系统(堡垒机)
综合日志审计系统
数据库安全审计系统
等保一体机系统
解决方案
一站式等级保护解决方案
系统上线安全检测解决方案
关于我们
公司简介
咨询热线
400-812-0521
专业软件安全和测试服务提供商
源代码审计服务
源代码审计(Code Review)是由具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。
咨询详情
源代码审计(Code Review)是由具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。
源代码审计服务的目的在于充分挖掘当前代码中存在的安全缺陷以及规范性缺陷,从而让开发人员了解其开发的应用系统可能会面临的威胁,并指导开发人员正确修复程序缺陷。
源代码审计是什么?
咨询详情
在漏洞挖掘过程中有两种重要的漏洞挖掘技术,分别是源代码审计和模糊测试。源代码审计是通过静态分析程序源代码,找出代码中存在的安全性问题;而模糊测试则需要将测试代码执行起来,然后通过构造各种类型的数据来判断代码对数据的处理是否正常,以发现代码中存在的安全性问题。
源代码审计与模糊测试区别
咨询详情
服 务 内 容
Service content
系统所用开源框架
包括反序列化漏洞,远程代码执行漏洞,spring、struts2安全漏洞,PHP安全漏洞等
应用代码关注要素
日志伪造漏洞,密码明文存储,资源管理,调试程序残留,二次注入,反序列化。
API滥用
不安全的数据库调用、随机数创建、内存管理调用、字符串操作,危险的系统方法调用。
错误处理不当
程序异常处理、返回值用法、空指针、日志记录。
源代码设计
不安全的域、方法、类修饰符未使用的外部引用、代码。
直接对象引用
直接引用数据库中的数据、文件系统、内存空间。
资源滥用
不安全的文件创建/修改/删除,竞争冲突,内存泄露。
业务逻辑错误
欺骗密码找回功能,规避交易限制,越权缺陷Cookies和session的问题。
规范性权限配置
数据库配置规范,Web服务的权限配置SQL语句编写规范。
咨询详情
明确安全隐患点
可以从整套源码切入最终明确至某个威胁点并加以验证
提高安全意识
有效督促管理人员杜绝任何一处小的缺陷,从而降低整体风险
提升开发人员安全技能
通过审计报告,以及安全人员与开发人员的沟通,开发人员更好的完善代码安全开发规范
企业做代码审计带来的好处!
咨询详情
我 们 的 服 务 特 点
降低成本,节省投资
在格修科技为客户打造的年度服务方案中,服务人员第一次源代码审计的结果将会成为后续审计服务的参考依据,避免了单次服务中每次都会为某一特定问题所累,节省了审计时间,同时也降低了客户在每个阶段的投入。
专家级解决方案,一切以解决问题为目标
格修科技有着专业的安全服务团队,团队成员无论是在风险评估、安全加固、渗透测试,还是在源代码审计等领域均有着丰富的经验,所有问题的解决方案均由团队成员根据多年经验总结而来,方案确实可行。
全程化服务,有效保证服务质量
格修科技可以为客户提供约定期限内的全程化源代码审计服务。服务的过程不仅仅是帮助客户发现问题,也会为客户的问题修补提供专业的建议和指导,做到问题发现、修补、验证的全程跟踪,每一次服务都会在前一次的基础上寻找新的突破口,力求最大程度地保证审计目标的安全。
咨询详情
荣 誉 证 书
合 作 伙 伴
