01 / Overview
工具 + 人工,识别真正重要的代码缺陷
SAST 工具能发现模式化缺陷,但难以理解业务逻辑。我们以人工深度审计补足这一层,发现真正会被利用的设计与逻辑漏洞。
覆盖 Java、Go、Python、Node.js、C/C++、Rust 等主流语言栈,以及微服务、Serverless 与 IoT 固件场景。
所有审计结论附带具体文件与行号定位、利用条件说明、修复示例与替代方案。
/ 01
深度业务理解
在阅读代码前先理解业务,避免无效告警。
/ 02
工具与人工结合
SAST 用于覆盖率,人工用于判断利用条件。
/ 03
可工程化的修复指引
不止说哪里有问题,更说怎么改、为何这么改。
/ 04
与 CI/CD 集成
可作为 DevSecOps 流水线中的一环常态运行。
02 / Offerings
面向多语言与多场景
按业务类型与语言栈匹配审计策略与规则集。
/ 01
Java / Kotlin
Spring、MyBatis、Netty 等主流框架的安全审计。
/ 02
Go
微服务、并发与系统调用相关风险的深度审查。
/ 03
Python
Django、Flask、FastAPI 等框架的安全审计。
/ 04
Node.js / TS
Express、NestJS 与前端框架的安全审计。
/ 05
C / C++ / Rust
内存安全、并发安全与系统级风险审查。
/ 06
固件 / 嵌入式
面向 IoT、车载与工业设备的固件安全审计。
03 / Methodology
可工程化的审计流程
从理解业务开始,到提供可被开发团队接收的修复指引为止。
业务与架构梳理
理解业务流程与系统架构,确定关键路径。
SAST 覆盖扫描
工具扫描建立全量基线,识别可疑点。
人工深度审计
聚焦关键路径与可疑点,确认真实风险。
修复指引与复审
提供修复方案,整改后进行复审验证。