服务背景：

信息安全问题时刻都有新的变化，新的攻击方法层出不穷，黑客攻击的方向越来越侧重于利用软件本身的安全漏洞，例如SQL注入漏洞、跨站脚本漏洞、CSRF漏洞等，这些漏洞主要由不良的软件架构和不安全的编码产生。因此，开展代码审计能够降低源代码出现的安全漏洞，构建安全的代码，提高源代码的可靠性，提高应用系统自身安全防护能力。凭澜能够为客户提供源代码安全审计服务，帮助开发人员提高源代码的质量，从底层保障应用系统本身的安全，从早期降低应用系统的开发成本。代码审计对象包括并不限于对Windows和Linux系统环境下的以下语言进行审核：java、C、C#、ASP、PHP、JSP、.NET。

服务概述：

新上线系统

凭澜认为，任何系统在上线之前，必须经过代码层面的审计工作，确保无可发现的安全风险才批准上线。这也是快页安全的最佳实践方式之一。

已运行系统

我们建议您对于线上运行的系统也同样进行代码审计，相关人员可以从扫描报告中看出当前产品的安全特性是否通过了安全策略和产品的安全需求是否合规。

凭澜代码审计服务是从安全的角度对代码进行的安全测试评估，通过分析当前应用系统的源代码。在熟悉业务系统的情况下， 从应用系统结构方面检查其各模块和功能之间的关联、权限验证等内容；从安全性方面检查其脆弱性和缺陷。结合丰富的安全知识、编程经验、测试技术，利用静态分析和人工审核的方法寻找代码在架构和编码上的安全缺陷，在代码形成软件产品前将业务软件的安全风险降到最低。

服务内容：

应用访谈

主要通过对开发人员的安全访谈，审计应用系统整个安全架构和相应安全防护措施，评估其是否符合国际主流的安全架构设计要求。

  人工代码审计

  对WEB、APP源码进⾏白盒审计，安全分析，帮助客户及时发现代码中存在的安全问题并提供安全修复建议。

  源代码扫描

  使用代码审计工具，对业务系统程序中存在的安全漏洞进行检测，找出应用系统的安全隐患，出具相关的代码审计报告。

  服务优势：

  支持多语言

  可审计Java、PHP、ASP、ASPX、JSP、Python等程序源码。

  人工审计

  人工和自动化工具结合的审计方式，提供专业的代码审计报告。

  效果保证

  问题修复后，提供二次复查，交付复查报告，保证代码审计效果。

  现场服务

  支持驻场代码审计，保证企业代码安全。

  服务收益

  明确安全隐患点

代码审计能够对整个信息系统的所有源代码进行检查，从整套源代码切入最终明至某个威胁点并加以验证，以此明确整体系统中的安全隐患点。

提高安全意识

任何的隐患在代码审计服务中都可能造成“千里之堤溃于蚁穴”的效果，因此代码审计服务可有效督促管理人员杜绝任何一处小的缺陷，从而降低整体风险。

提高开发人员安全技能

在代码审计服务人员与用户开发人员的交互过程中，可提升开发人员的技能。另外，通过专业的代码审计报告，能为用户开发人员提供安全问题的解决方案，完善代码安全开发规范。