中心新業務——源代碼漏洞檢測來啦！

軟件安全是網絡安全的基礎防線，而軟件的底層由大量代碼組成。隨著軟件規模的增加，開發成本也在呈指數上升。這其中一個重要的原因是修正缺陷，倘若缺陷都能被快速發現并修正，成本上升的形態就基本能保持線性。

網絡安全問題時刻都有新的變化，新的攻擊方法層出不窮，黑客攻擊的方向越來越側重于利用軟件本身的安全漏洞，例如SQL注入漏洞、跨站腳本漏洞、CSRF漏洞等，這些漏洞主要由不良的軟件架構和不安全的編碼產生。

開展源代碼漏洞檢測能夠降低源代碼出現的安全漏洞，構建安全的代碼，提高源代碼的可靠性，提高應用系統自身安全防護能力。源代碼漏洞檢測能夠幫助開發人員提高源代碼的質量，從底層保障應用系統本身的安全，從早期降低應用系統的開發成本。

一、業務簡介

源代碼漏洞檢測是依據CVE(Common Vulnerabilities & Exposures)公共漏洞字典表、OWASP十大Web漏洞（Open Web Application Security Project），以及設備、軟件廠商公布的漏洞庫，結合專業源代碼掃描工具對各種程序語言編寫的源代碼進行安全審計。能夠為客戶提供包括安全編碼規范咨詢、源代碼安全現狀測評、定位源代碼中存在的安全漏洞、分析漏洞風險、給出修改建議等一系列服務。

二、服務內容

1、源代碼漏洞檢測可以檢測和發現源代碼中的安全問題，定位到具體的代碼行，并為每一個發現的問題提供詳細的信息提示和修復建議，幫助開發人員更好地理解并更有效地修復問題；

2、針對系統開發過程中的編碼階段、測試階段、交付驗收階段、對各階段系統源代碼進行安全審計檢測，采用專業的源代碼安全審計工具對源代碼安全問題進行分析和檢測并驗證，從而對源代碼安全漏洞進行定級，給出安全漏洞分析報告等，幫助軟件開發的管理人員統計和分析當前階段軟件安全的風險、趨勢，跟蹤和定位軟件安全漏洞，提供軟件安全質量方面的真實狀態信息；

3、依據源代碼漏洞檢測結果，對源代碼安全漏洞進行人工審計，并依據安全漏洞問題給出相應修改建議，協助系統開發人員對源代碼進行修改。

三、中心的優勢

安徽省軟件評測中心依托基礎軟件質量控制與技術評價實驗室，獲得CNAS國家認可實驗室資屎?CMA資質認定，通過ISO27001信息安全管理體系、ISO9001質量管理體系、ISO45001職業健康安全管理體系、ISO14001環境管理體系認證；中心全體人員均為本科以上學歷，持有各類專業證書。其中評測工程師擁有國家承認的軟件信息化行業技術考證合格資質，以及計算機軟件檢測、數據安全等專業的中高級職稱證書。

中心擁有專業的正版檢測工具和豐富的測試經驗，積累了20多年地方政府信息化建設的第三方服務成功案例和經驗，先后承擔了2萬余款軟件產品和5000余項信息系統工程的測試任務，行業領域涉及省市部委、教育、電信、交通、醫療、航空、公安、電力、農業、水利、林業等。通過專業的測試技術和優質的測試服務，在軟件測試、質量保障業務方面為項目順利運行保駕護航。