一、 为什么需要代码审计

l 代码审计（Code Review）是由具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查

l 程序的安全性是否有保障很大程度上取决于程序代码的质量，而保证代码质量最快捷有效的手段就是代码审计

l 新上线系统对互联网环境的适应性较差，代码审计可以充分挖掘代码中存在的安全缺陷。避免系统刚上线就遇到重大攻击。

l 代码审计是SDL（软件安全开发生命周期）中必做的一个环节

二、 代码审计收益

l 明确安全隐患点 

n 代码审计能够对整个信息系统的所有源代码进行检查，从整套源代码切入最终明至某个威胁点并加以验证，以此明确整体系统中的安全隐患点

l 提高安全意识

n 如上所述，任何的隐患在代码审计服务中都可能造成“千里之堤溃于蚁穴”的效果，因此代码审计服务可有效督促管理人员杜绝任何一处小的缺陷，从而降低整体风险

l 提高开发人员安全技能

n 在代码审计服务人员与用户开发人员的交互过程中，可提升开发人员的技能。另外，通过专业的代码审计报告，能为用户开发人员提供安全问题的解决方案，完善代码安全开发规范

三、 代码审计服务内容

l 代码审计服务的范围包括使用ASP、ASP.NET（VB/C#）、JSP（JAVA）、PHP等主流语言开发的B/S应用系统、使用C++、JAVA、C#、VB等主流语言开发的C/S应用系统，以及使用XML语言编写的文件、SQL语言和数据库存储过程等

l 代码审计内容主要包括：系统所用开源框架、源代码设计、资源滥用、后门代码发现、跨站脚本漏洞、跨站请求伪装漏洞、SQL注入漏洞、命令执行漏洞、日志伪造漏洞、参数篡改、配置文件缺陷、系统信息泄露、调试程序残留、第三方控件漏洞、文件上传漏洞、远程命令执行、越权下载、授权绕过漏洞等

四、 服务优势

l 安全团队服务能力强

l 安全服务项目经验丰富

l 软件安全开发（SDL）咨询项目经验丰富

l 全程项目管控

l 团队成员拥有CISP（注册信息安全专业人员）、CISD（注册软件安全开发专业人员）等安全证书