代码审计服务


通过对源代码的全面分析,发现代码设计的安全缺陷、安全漏洞或违反编程约定等风险,以提高软件系统安全性,降低安全风险。

用户价值

用户价值


a) 强化系统安全:充分挖掘业务系统代码中可能存在的潜在威胁点,提升产品的安全性、稳定性。


b) 上线前安全检测:提前发现产品代码安全隐患,降低使用过程中的安全风险。


c) 合法合规运营:满足合法合规建设需要,避免因触犯法律遭受惩罚。



About

服务方案


准备阶段

a) 根据客户工作要求,组建代码审计工作小组,确定项目负责人。

b) 项目负责人负责与客户进一步对接,签署代码审计授权协议书,确认代码审计数量、环境、时间、地点等因素;

c) 根据项目实际情况,召开项目启动会议,部署审计实施方式、人员安排等工作,确认代码审计人员在代码审计过程中需涉及到的注意事项以及相关实施工具的准备。

实施阶段

码审计实施阶段可根据客户需求,分为远程实施和现场实施两种方式:

1.远程实施:进行远程代码审计时,须向客户说明为保障代码安全性,应对代码文件包采用对称加密后进行传输。

在代码审计过程中,代码审计人员应时刻开启代码审计设备的录屏操作,直到审计完成后并删除清空被审计的源代码后,方可关闭录屏。

2.现场实施

进行现场代码审计时,对于可能会存在需要在客户设备上进行代码审计情况,应及时与客户沟通,说明需要在客户电脑上所需要安装程序的必要性,并在事后提交的审计报告中清晰说明程序安装的具体信息,如安装位置、数据存在位置等。

在代码审计过程中,代码审计人员应时刻开启代码审计设备的录屏操作,直到审计完成后并删除清空被审计的源代码后,方可关闭录屏。

后处阶段

a) 代码审计服务完成后,由代码审计人员完成《代码审计报告》的编制,在报告编制过程中,不得以任何理由让任何第三方或无关人员协助来完成报告的编写;

b) 项目负责人召开项目总结会议,对《代码审计报告》进行审核,针对审计过程中发现的漏洞等安全问题,制定科学的整改建议,并于第一时间反馈至客户;

c) 将项目总结会相关会议记录、审计报告、修复建议等文档按照公司《文件存储标准》进行统一加密存档。

服务团队

Sec-scan安全团队


Sec-scan安全团队是重庆都会信息科技有限公司核心技术团队,主要从事网络安全产品研发、运维服务、技术培训、应急响应以及WEB、APP、工控系统、应用软件系统等漏洞挖掘服务。团队成员拥有资深的业务能力、丰富的理论知识储备和一线实战经验,被重庆市网安总队列为技术支撑团队,曾多次向CNVD、CVE提交百万级、千万级的通用工控系统漏洞、WEB系统漏洞,并多次参与互联网攻防赛事,取得了优异的成绩。


专注于漏洞分析与研究,主要擅长web渗透、app渗透以及工控、物联网等渗透测试,同时擅长代码审计、逆向工程、应急响应、网络事件取证、漏洞修复、漏洞安全研究、技术培训等,是重庆地区唯一每周持续向国家信息安全漏洞库(CNVD)提交漏洞的团队,在整个国家信息安全漏洞共享平台(CNVD)7000多个队伍中排名50位,是重庆地区排名最高的单位。多次获得CNVD以及上海同济大学、上海外国语大学、上海交通大学、天津南开大学等高校荣誉表彰。


主要提供网络安全应急响应、安全加固、安全意识培训与安全技术培训、应急演练、安全巡检、专项安全检查、风险评估、安全建设、信息化管理制度建设、等保2.0整改、网站监测、安全监测预警、通报等运维服务。成员大多都持有CISP、CISAW、PMP等行业证书。

About