代码审计是由具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。
      代码审计服务是一种以发现程序错误，全漏洞和违反程序规范为目标的源代码分析。软件代码审计是对编程项目中源代码的全面分析，旨在发现错误，安全漏洞或违反编程约定。 它是防御性编程范例的一个组成部分，它试图在软件发布之前减少错误，从而让开发人员了解其开发的应用系统可能会面临的威胁，并指导开发人员正确修复程序缺陷。

为什么要开展代码审计工作

      实践证明，程序的安全性是否有保障很大程度上取决于程序代码的质量，而保证代码质量最快捷有效的手段就是代码审计。

      在风险评估过程中，代码审计是一般脆弱性评估的一种很好的补充，代码审计服务的代码覆盖率为100%，能够找到一些安全测试所无法发现的安全漏洞。

      新上线系统对互联网环境的适应性较差，代码审计可以充分挖掘代码中存在的安全缺陷。避免系统刚上线就遇到重大攻击。

      已运行系统先于黑客发现系统的安全隐患，提前部署好安全防御措施，保证系统的每个环节在未知环境下都能经得起黑客挑战。

同时，由于主持代码审计的安全服务人员一般都具备丰富的安全编码经验和技能，所以其针对性比常见的脆弱性评估手段会更强、粒度也会更为细致。

如何开展代码审计工作

       时代确信代码审计服务的范围包括使用ASP、ASP.NET（VB/C#）、JSP（JAVA）、PHP等主流语言开发的B/S应用系统、使用C++、JAVA、C#、VB等主流语言开发的C/S应用系统，以及使用XML语言编写的文件、SQL语言和数据库存储过程等。

      代码安全审计服务从数据流分析、控制流分析、语义分析、配置分析、结构分析等五个方面全面分析软件源代码安全问题。借助代码分析工具,针对信息系统源代码扫描、分析，语言方面可以支持：Java／JSP C/Ｃ＋+。NET平台，TSQL／PLSＱＬ，ColｄFuｓiｏn，XＭL，CFMＬ，ASP，PHP，JS，VB等。操作系统方面支持:Windoｗs, Ｓolａris，Red Ｈat Ｌinux, Mac OS、 HP-UX等并对导致安全漏洞的错误代码进行定位和验证，提供修复方案。

代码审计流程

      代码审计服务主要分为四个阶段，包括代码审计前期准备阶段、代码审计阶段实施、复查阶段实施以及成果汇报阶段。如下图：

客户收益

对于客户而言，代码审计可以带来以下收益：

1.明确安全隐患点

代码审计能够对整个信息系统的所有源代码进行检查，从整套源代码切入最终明至某个威胁点并加以验证，以此明确整体系统中的安全隐患点。

2.提高安全意识

如上所述，任何的隐患在代码审计服务中都可能造成“千里之堤溃于蚁穴”的效果，因此代码审计服务可有效督促管理人员杜绝任何一处小的缺陷，从而降低整体风险。

3.提高开发人员安全技能

在代码审计服务人员与用户开发人员的交互过程中，可提升开发人员的技能。另外，通过专业的代码审计报告，能为用户开发人员提供安全问题的解决方案，完善代码安全开发规范。