源代码安全漏洞测试
服务概述
通过对软件源代码开展自动化测试工具扫描和系统化安全审查,识别和评估潜在的安全漏洞风险,保障软件产品在设计与实现层面的安全性。
适用对象
- 企业市场推广/招投标活动:证明软件产品在源代码层面符合安全开发要求
- 政府及重点行业项目验收:满足信息系统安全建设和源代码安全审查相关要求
- 涉及敏感数据和关键业务的软件系统:如政务系统、金融系统、互联网平台等,查找潜在的源代码安全漏洞
- 希望主动防御安全攻击的软件研发单位:在系统上线或交付前,提前发现并消除安全隐患
测试依据
- GB/T 34943-2017 《C/C++语言源代码漏洞测试规范》
- GB/T 34944-2017《Java 语言源代码漏洞测试规范》
- GB/T 34946-2017 《C#语言源代码漏洞测试规范》
测试内容
依据国家标准及安全测试规范,结合自动化源代码分析工具和安全专家审计经验,分别针对C/C++、JAVA和C#等主流语言的跨站脚本攻击、SQL注入、日志伪造、缓冲区溢出等多种安全漏洞技术指标进行测试,规避源代码隐藏安全漏洞导致的数据泄露、数据被篡改、软件停止服务等安全问题。
交付成果
源代码安全漏洞测试报告:包含漏洞描述、影响分析、风险等级评定和漏洞修复建议。