代码审计的作用对象主要是PHP、JAVA、asp、.NET等与Web相关的语言,大家一定很想知道,都有哪些业务场景需要做好代码审计工作,需要做代码审计的业务场景大概分为以下五个。小编带大家一一了解。

(1)即将上线的新系统平台;

(2)存在大量用户访问、高可用、高并发请求的网站;

(3)存在用户资料等敏感机密信息的企业平台

(4)互联网金融类存在业务逻辑问题的企业平台;

(5)开发过程中对重要业务功能需要进行局部安全测试的平台;

综上,小型公司也要是进行代码审查的工作的。通常我们说的整体代码审计和功能点人工代码审计二者也是存在不小区别的,整体代码审计是指代码审计服务人员对被审计系统的所有源代码进行整体的安全审计,代码覆盖率为100%,整体代码审计采用源代码扫描和人工分析确认相结合的方式进行分析,发现源代码存在的安全漏洞,源代码扫描需要借助代码扫描工具

但整体代码审计属于白盒静态分析,仅能发现代码编写存在的安全漏洞,无法发现业务功能存在的缺陷。 整体代码审计付出的时间、代价很高,也很难真正读懂这一整套程序,更难深入了解其业务逻辑。这种情况下,根据功能点定向审计、通过代码扫描工具做接口测试等,能够提高审计速度,更适合企业使用。

功能点人工代码审计是对某个或某几个重要的功能点的源代码进行人工代码审计,发现功能点存在的代码安全问题,能够发现一些业务逻辑层面的漏洞。功能点人工代码审计需要收集系统的设计文档、系统开发说明书等技术资料,以便代码审计服务人员能够更好的了解系统业务功能。

由于人工代码审计工作量极大,所以需要分析并选择重要的功能点,有针对性的进行人工代码审计。