取消
清空記錄
曆史記錄
代碼審計顧名思義就是檢查源代碼中的(de)安全缺陷,檢查程序源代碼是否存在安全隐患,或者有編碼不規範的(de)地(dì)方,通過自(zì)動化工具或者人工審查的(de)方式,對程序源代碼逐條進行檢查和(hé)分析,發現這些源代碼缺陷引發的(de)安全漏洞,并提供代碼修訂措施和(hé)建議,下面就由上海觀初給大家簡要介紹。
審核軟件時,應對每個關鍵組件進行單獨審核,并與整個程序一(yī)起進行審核。 首先搜索高(gāo)風險漏洞并解決低(dī)風險漏洞是個好主意。 高(gāo)風險和(hé)低(dī)風險之間的(de)漏洞通常存在,具體取決于具體情況以及所使用的(de)源代碼的(de)使用方式。 應用程序滲透測試試圖通過在可(kě)能的(de)訪問點上啓動盡可(kě)能多的(de)已知攻擊技術來嘗試降低(dī)軟件中的(de)漏洞,以試圖關閉應用程序。
這是一(yī)種常見的(de)審計方法,可(kě)用于查明是否存在任何特定漏洞,而不是源代碼中的(de)漏洞。 一(yī)些人聲稱周期結束的(de)審計方法往往會壓倒開發人員,會給團隊留下一(yī)長(cháng)串已知問題,但實際上并沒有多少改進; 在這些情況下,建議采用在線審計方法作為(wèi)替代方案。源代碼審計工具通常會查找常見漏洞,隻适用于特定的(de)編程語言。 這種自(zì)動化工具可(kě)用于節省時間,但不應依賴于深入審計。 建議将這些工具作為(wèi)基于政策的(de)方法的(de)一(yī)部分。
如(rú)果設置為(wèi)低(dī)阈值,則大多數軟件審計工具會檢測到許多漏洞,尤其是在以前未審核過代碼的(de)情況下。 但是,這些警報的(de)實際重要性還取決于應用程序的(de)使用方式。 可(kě)能與惡意代碼鏈接的(de)庫(并且必須對其免疫)具有非常嚴格的(de)要求,例如(rú)克隆所有返回的(de)數據結構,因為(wèi)有意破壞系統的(de)嘗試是預期的(de)。
以上就是上海觀初關于代碼審計的(de)分享,希望能給大家提供到幫助,了解更多關于代碼審計的(de)問題歡迎來電咨詢,如(rú)您需要,竭誠為(wèi)您服務。
相關新聞