本文档介绍阿里云代码扫描服务。

背景

当企业安全建设面临如下情境:某些业务接口隐蔽性较高,需要依赖传递正确参数后才能正常访问;或是某些业务逻辑前置的交互步骤中缺失漏洞触发的要素,需要较多前置条件;甚至如二次注入、无外网访问的服务端请求伪造,以及无回显命令注入等漏洞成因本身就需要对业务逻辑特别清晰才能发现时,代码审计就成为了更为妥当的解决方案。

代码审计是一种以发现程序错误、安全漏洞和违反程序规范为目标的源代码分析。它是防御性编程范式的一部分,旨在检测代码中存在的安全缺陷,针对存在的缺陷提供解决方案,降低程序使用时的安全风险。在软件发布前进行代码审计,可将不安全因素扼杀在萌芽状态,极大缩减了后期修复所花费的成本。

代码审计能更深层地发现代码中的隐患,为测试人员开启“上帝视角”。测试过程不会对线上业务造成影响,不会导致诸如系统宕机、服务卡死、数据库阻塞、业务数据丢失等风险。但由于代码审计需要深入理解代码逻辑和业务结构,因此对审计人员的能力素质要求较高,需要花费的精力也更多。

服务简介

通过人工观察、模拟执行或半自动化工具扫描的方式,全面深入挖掘代码中的通用Web漏洞、业务逻辑漏洞、应用程序漏洞以及应用程序配置文件中的不安全因素等,不仅解决现存隐患,更能通过针对性培训帮助企业整体提升编程安全水平。

服务流程及输出结果

  • 代码审计的服务流程如下图所示:代码审计流程图
  • 服务输出结果
    • 《代码安全审计报告》