企业级源代码安全审计

      代码审计专家服务团队，除了提供网络、现场的源代码审计服务外，为了帮助企业建立代码安全审计平台、Devops/DevSecOps平台、代码扫描基线、安全和质量编码规范、制度流程，打通企业研发的各个管理环节，实现自动化等企业级源代码安全审计咨询服务。

      企业要建立代码安全审计平台，实现高效的自动化代码安全审计，需要打通企业研发生命周期的各个环节，让自动化检测工具融入现有开发、测试环境，并真正被接受和充分利用，需要从工具选型、扫描基线、编码规范到制度流程等各个环节进行评估和设计。包括但不限于下面所要完成的工作。

1. 源代码安全检测工具选型建议
2. 源代码安全基线分析与制定
3. 软件安全编码规范制定及实施
4. 源代码检测自动化流程实现
5. 软件安全开发技术培训
6. 项目试点和推广

企业级的代码安全审计建设后可实现：企业关注的风险，例如安全漏洞、运行时缺陷、合规性，都有编码规范要求；编码规范要求的，都会在检测或审计环节被检测；检测出的问题，都有详细的问题剖析和修复说明可查。

主要工作如下：

1、源代码安全检测分析工具选型建议

代码安全审计专家制定调研表，由开发团队填写提交，根据反馈内容进行访谈，了解企业常用语言、架构、合规要求等特征，并对比业内各种源代码安全扫描工具的优缺点及企业特点，分析企业应用系统代码安全扫描最适合的工具，为企业选择扫描工具提供依据，或提出工具定制化方案。

2、源代码安全基线分析与制定

代码安全审计专家通过对调研结果的分析，与客户开发团队共同制定源代码安全基线。也就是团队可以接受的安全漏洞、运行时缺陷等类型和级别，形成一个门限。不达到这个门限软件就不能进入下一个流程，当然不同阶段可以设定不同的门限。

3、软件安全编码规范制定及实施

代码安全审计专家能够根据设定的门限，定制出安全编码规范，并能够在团队落地。选型工具能够支持安全编码规范的落地。

4、源代码检测自动化流程实现

根据企业开发、测试环境，将代码检测工具与源码版本管理工具（SVN、GIT等）、邮件服务器、IDE、缺陷跟踪、持续集成CI/CD等集成，实现自动高效的代码检测和管理。

5、软件安全开发技术培训

代码安全审计专家会根据制定的安全编码规范、制度等设计培训课程，对研发团队进行管理和技术上的培训。便于让代码安全审计能够推广落实。

6、项目试点和推广

 

6.1 试点项目选择与调查

根据历史项目扫描结果中各系统漏洞覆盖情况，以及系统的重要性等方面，从中选取若干试点系统作为试点扫描目标，调查系统的各项技术特征和业务特征，由代码审计专家进行详细分析。

6.2 试点项目扫描与扫描结果分析

审计专家根据调查结果，优化工具策略，对试点系统代码进行进一步扫描，以会议等形式为开发团队详细解读发现的各类安全漏洞、运行时缺陷以及违反合规要求的原因、危害、代码中的路径溯源，并编写试点项目代码风险评估报告，提供切实可行的修复建议指导开发人员的修复工作。并总结试点项目的成功和失败经验，为后续推广做准备。

6.3 推广

在试点项目结束并对研发团队做了培训之后，就可以开展推广了。在正式推广之前，是需要做一个推广方案，而不是一刀切方式。

 （完）