[甲方安全建设之路]自动化代码审计系统

Posted 2021-02-10 sevck

在甲方安全建设的过程中，除了项目上线外需要经过黑盒的安全测试，还需要在整个SDL进行建设。

因为单单只是黑盒测试的点是有限的，但是如果内部内置了一个后门，不能够及时的发现。

如果从0开始去写可能会浪费很多的时候，也不想再去重复造轮子，于是调研了一些开源中比较好的扫描工具，然后花了几天的时候，写了一个简单的在线代码审计系统平台。

在看了lijiejie在爱奇艺中使用的代码审计系统(详情请看爱奇艺安全攻防实践议题分享)

 

技术栈如下：

扫描使用了openstack的bandit

前端使用了layui

后端使用django

数据存储层mysql

界面如下：

 

 

 

在调研用哪一款时参考了比较不错的文章，推荐下。

https://paper.tuisec.win/detail/e03fb4d6934054b