专家现场及网络安全分析

     源代码安全审计专家，自带工具或者使用客户方已有的代码扫描工具，到客户现场或通过远程网络方式。对用户被测系统的开发语言、框架、安全合规要求、业务风险要求等进行调查分析，确定安全扫描分析目标，根据客户使用的开发技术使用一种或多种源代码审计工具安全审计，并生成合规性报告 。详细流程如下：

1、系统架构风险调查

    审计专家制定《系统源代码安全风险评估调查清单》，由系统开发团队填写提交，根据反馈内容进行访谈，了解被测系统语言、架构、合规要求等特征，分析提炼出系统薄弱点、易发问题、适合的扫描工具、扫描目标及扫描策略等。

2、扫描工具部署

    用户根据审计团队提供的扫描工具部署环境需求，准备部署环境后，审计团队现场或者远程部署扫描工具，并根据系统架构风险调查结果进行调试和配置；

3、代码扫描及数据分析

    使用优化的扫描配置对被测系统源代码进行扫描，整理汇总扫描结果，由代码审计专家对测试结果进行人工分析，制定《系统源代码安全风险评估及修复建议报告》；

4、解读问题及修复指导

    审计专家通过与开发团队现场会议或者远程沟通的方式，对扫描分析出的问题的原因、危害、代码中的路径位置进行详细解读，并指导开发人员对问题进行修复；

5、回归测试

    修复完成后，重新提交代码进行扫描审计，直至客户关注的问题全部得到修复。

6、报告及数据整理

    制定《源代码安全审查总结报告》，汇总审计服务中发现的漏洞、需要修复的漏洞、开发团队的漏洞修复情况，以及遗留风险等信息。

    并帮助用户对测试过程中的数据进行整理存档，清除测试环境中的各类过程数据，保证系统及测试数据的安全性和保密性。并根据行业合规性要求，出具合规性报告。   

    如需了解更详细的内容， 请联系我们！