一航软件测评：获CMA 源代码审计能力资质认可

近日，深圳市一航网络信息技术有限公司旗下一航软件测评中心正式获得CMA资质扩项源代码审计，依据国家标准GB/T 39412-2020《信息安全技术 代码安全审计规范》 开展源代码审计/代码安全审计的全流程权威能力。可按国标 GB/T 39412-2020 提供 CMA 认可的代码安全审计报告，从源头解决网络安全的源代码安全与合规问题。

一航软件测评作为国内民营第三方软件测评机构中资质最齐全、技术最前沿、性价比最高的软件测评机构之一，是国内少有的拥有软件测评及安全测试全方面全资质的企业，也被多家国内外权威媒体评为全国头部第三方软件测评机构，这次的CMA资质能力扩项，GB/T 39412-2020《信息安全技术 代码安全审计规范》是 2020 年 11 月发布、2021 年 6 月实施的国家标准，为软件代码安全审计提供流程、指标与方法，覆盖全生命周期代码安全检查。以下从核心信息、审计流程、核心审计内容几方面详细说明：

一、基础信息

• 标准号：GB/T 39412-2020。

• 发布/实施：2020-11-19 发布，2021-06-01 实施。

• 归口单位：全国信息安全标准化技术委员会（SAC/TC 260）。

• 适用范围：指导各类软件（企业应用、移动应用、云平台、物联网设备等）的代码安全审计；不适用于硬件安全、非技术安全管理及特定行业专项合规审计。

二、审计核心流程（五大阶段）

• 审计准备：确定目标、范围、计划；明确人员与方法（静态扫描、人工审查、动态测试）。

• 审计实施：按 97 条审计条款逐项检查，记录缺陷与代码位置。

• 审计报告：汇总问题，按风险等级（高 / 中 / 低）分类，提供修复建议。

• 改进跟踪：监督漏洞修复，复测验证，闭环管理。

• 审计时机：含内部审计（开发阶段，预防问题）与外部审计（上线前 / 合规检查）。

三、四大类核心审计指标（共 97 条）

1. 安全功能缺陷审计（37 条）

• 数据清洗：输入验证、输出编码、特殊字符过滤（防 SQL 注入、XSS）。

• 数据加密与保护：敏感数据加密（如密码哈希）、密钥管理、传输加密（HTTPS）。

• 访问控制：权限最小化、越权检查、会话管理（防垂直 / 水平越权）。

• 日志安全：日志脱敏、完整记录操作、防日志篡改 / 泄露。

2. 代码实现安全缺陷审计（25 条）

• 面向对象安全：敏感类不可复制 / 序列化、类比较不只用名称、私有成员保护。

• 并发程序安全：防会话泄露、未初始化对象发布、死锁、资源竞争。

• 函数调用安全：参数验证、格式化字符串防护、不暴露危险方法。

• 异常处理安全：统一异常机制、不泄露敏感信息、错误码规范。

• 指针安全（C/C++）：兼容类型访问、防越界 / 空指针、不硬编码地址。

3. 资源使用安全缺陷审计（32 条）

• 内存管理：成对分配 / 释放、防内存泄漏 / 缓冲区溢出、敏感内存清理。

• 数据库使用：防 SQL 注入、连接及时释放、参数化查询。

• 文件管理：安全临时文件、路径遍历防护、文件描述符及时关闭。

• 网络传输：端口不重复绑定、流量控制、防中间人攻击。

• 资源管理：防重复释放、无限循环 / 递归、算法复杂度攻击。

4. 环境安全缺陷审计（3 条）

• 移除调试代码（测试接口、打印日志）。

• 第三方组件安全（版本合规、无已知漏洞、来源可信）。

• 配置信息保护（硬编码密码 / 密钥、配置文件权限控制）。

四、核心价值

• 统一审计标准：提供 97 条可落地条款，减少主观判断差异。

• 降低安全风险：覆盖 OWASP Top10 等常见漏洞，发现逻辑漏洞、后门、硬编码、组件漏洞，提前发现缺陷。

• 支撑合规要求：满足网络安全、项目验收、招投标、监管检查、个人信息保护法等对代码安全的要求。

• 提升开发质量：输出安全编码规范、缺陷库、改进方案，规范编码习惯，减少后期修复成本。

五. 技术方法（工具 + 人工双引擎）

• 自动化：Fortify、SonarQube、自研静态扫描引擎。

• 人工审计：逻辑漏洞、架构缺陷、业务风险（工具盲区）。

• 覆盖语言：Java/C#/等。

六、适用场景

• 金融、政务、医疗、能源等高安全行业。

• 软件产品上线前、版本迭代、第三方验收。

• 等保测评、数据安全合规、漏洞检测、融资尽调、资质申报。

• 自研系统安全加固、开源组件风险治理。