概览
安全代码审查是对应用源代码的深入检查,旨在漏洞投入生产之前将其发现。它将自动化静态分析(用于广泛覆盖)与专家对身份验证、授权、业务逻辑和加密的手动审查相结合,也就是工具会遗漏的、依赖上下文的缺陷,并提供可供开发者直接使用的修复方案。直接检查代码有助于在部署前发现不安全的编码实践,此时修复问题的成本最低。常见的发现包括注入缺陷、弱加密、身份验证弱点以及不安全的编码模式。
方法论与标准
OWASP Code Review Guide 2.0、OWASP ASVS、OWASP Top 10 以及特定语言的安全编码标准。SAST 工具辅以对安全关键代码路径的手动审查。每次审查都结合自动化分析、手动代码审查、漏洞验证以及附带修复建议的报告。
包含内容
用于广泛覆盖的自动化 SAST
对身份验证/授权、业务逻辑和加密的手动审查
误报筛除,使开发者只需处理真实问题
源代码安全评估
自动化与手动审查技术
安全编码实践评估
按优先级排序的修复建议
您将获得
附文件和行号引用及严重性评分的结果
安全代码修复片段及 ASVS 覆盖视图
面向开发者的根本原因讲解
面向管理层的报告、技术结果、修复建议,以及复测验证支持
对齐 OWASP高管报告整改指导包含复测鉴证函杜绝扫描器堆砌
常见问题
SAST 是首次自动化检查。手动审查补充了工具无法推断的内容:访问控制绕过、有缺陷的业务逻辑以及在具体上下文中对加密的不安全使用,并消除了误报。
我们需要对相关代码仓库的只读访问权限。对于大型代码库,我们会将手动工作集中在风险最高的组件上,同时由 SAST 提供广泛覆盖。
安全代码审查有助于在开发周期的早期识别安全弱点,降低漏洞流入生产系统的风险。