腾讯安全是如何把代码审计工具做到优秀的

 

        在传统的瀑布流的开发模型时代，代码审计方面做到的本就非常少，加之很多企业为了尽快交付项目就会压缩开发周期，难免出现无法保障代码质量的问题，就造成很多暴力破解和SQL注入攻击有机可乘。

        其实这些常见的网络攻击都可以在代码层面解决，如果说在人工上实在精力有限或者公司本身没有一个完善的代码审计制度，就可以通过代码审计工具完成代码审计工作。

        作为一款优秀的代码审计工具，其审计的内容必然是全面的，包括框架、源代码设计、对错误的处理、对象引用、资源使用、其中调用的API的使用等全方位的审计。 

        查看开源框架，主要是检测出框架自身所携带的很多漏洞，例如常用的Struts2和Spring框架。低版本的struts2就存在很多的版本漏洞，一旦投入使用就很容易造成比较大的危害。

        现在发现的如s2-033 ,s2-032等漏洞，都是由于系统开启了动态调用方法，导致远程代码执行。Spring框架在jsp页面尽量使用el表达式，但其实是存在问题的，boot框架远程命令执行就是由于el表达式导致的。

        很多框架上的漏洞其实是较难发现的，通过代码审计工具则可以帮助研发少走弯路。

        在源代码设计方面，通常问题都是来源于程序设计之初，代码编写工具的使用也是其中之一。通过审计可以分析代码的系统性和约束范围，包含不安全的域、不安全的方法、不安全的类修饰符、未使用的外部引用和未使用的代码。 

        错误处理：代码的错误处理不当主要通过分析源代码了解程序在管理错误、日常、日志记录以及敏感信息等方面是否存在缺陷。这方面处理如果不当的话较容易导致的问题是将敏感信息泄露给攻击者。通常包含程序异常处理、返回值用法、空指针、日志记录几个方面。

        对象引用：在直接对象引用的时候一般很少进行校验，但其实它是必要的。因为不做必要的校验就会导致被攻击者利用，代码审查工具可以分析出程序是否存在直接对象引用以及相应的对象引用是否安全。主要包含直接引用数据库中的数据，直接引用文件系统，直接引用内存空间三个方面。

        资源滥用：是最常见的问题代码编写问题，主要是指程序对文件系统对象、CPU、内存、网络带宽等资源的不恰当使用。资源使用不当必然导致程序效率降低，更加容易受到DDoS攻击的影响。

        通过审计，将会根据编码规范分析代码中对各种资源的引用方法进行分析，发现其中可能导致资源过度占用方面的问题，资源占用也主要是因为不安全的文件创建、修改和删除，竞争冲突，内存泄露三个问题带来的。 

        API调用：是软件开发中经常使用的一种外部程序接入的手段，例如小程序调用微信的扫码API，支付宝的付款API或各种第三方的API，很少有人关注到其中存在的风险。

        在不安全的数据库调用，不安全的随机数创建，不恰当的内存管理，危险的系统方法调用几个方面都是存在风险的，特别是对于WEB应用来说，不安全的HTTP会话句柄也是API滥用的一种。通过审计工具可以将此类问题对源代码分析并及时发现问题。

        以上便是一款合格的代码审计工具应该具备的审计能力，腾讯安全代码审计工具便具备以上所有的代码审计功能并广泛涉及了跨站脚本漏洞、命令执行漏洞、密码明文存储等全方位的审计，帮助企业实现安全代码审计职能，助力企业顺利上云。

        云巴巴严选云作为腾讯的金牌代理商，携手腾讯安全，搭配出了包括网商\电商加固方案在内覆盖各行各业的网络安全实施方案。一站式解决企业上云的安全问题，保障业务稳定进行。

关于云巴巴严选云

【云巴巴严选云】秉承严谨态度，严格选品的品牌理念，深入各个厂商，从源头严格把控，力求帮助企业甄选到优质合格的云计算产品。

  与腾讯云、阿里云等主流厂商深度合作并获得金牌代理权限，享有比货源厂家更加优惠的价格，为企业提供额外的大牌补贴。专业的售前咨询团队和TCA，TCP专业技术团队，面向各行各业的B端客户，提供多种维度，各个方面的企业上云服务和科技化转型产品。

 

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！