取消
清空記錄
歷史記錄
清空記錄
歷史記錄
代碼審計(jì)顧名思義就是檢查源代碼中的安全缺陷,檢查程序源代碼是否存在安全隱患,或者有編碼不規(guī)范的地方,通過(guò)自動(dòng)化工具或者人工審查的方式,對(duì)程序源代碼逐條進(jìn)行檢查和分析,發(fā)現(xiàn)這些源代碼缺陷引發(fā)的安全漏洞,并提供代碼修訂措施和建議,下面就由上海觀初給大家簡(jiǎn)要介紹。
審核軟件時(shí),應(yīng)對(duì)每個(gè)關(guān)鍵組件進(jìn)行單獨(dú)審核,并與整個(gè)程序一起進(jìn)行審核。 首先搜索高風(fēng)險(xiǎn)漏洞并解決低風(fēng)險(xiǎn)漏洞是個(gè)好主意。 高風(fēng)險(xiǎn)和低風(fēng)險(xiǎn)之間的漏洞通常存在,具體取決于具體情況以及所使用的源代碼的使用方式。 應(yīng)用程序滲透測(cè)試試圖通過(guò)在可能的訪問(wèn)點(diǎn)上啟動(dòng)盡可能多的已知攻擊技術(shù)來(lái)嘗試降低軟件中的漏洞,以試圖關(guān)閉應(yīng)用程序。
這是一種常見(jiàn)的審計(jì)方法,可用于查明是否存在任何特定漏洞,而不是源代碼中的漏洞。 一些人聲稱(chēng)周期結(jié)束的審計(jì)方法往往會(huì)壓倒開(kāi)發(fā)人員,會(huì)給團(tuán)隊(duì)留下一長(zhǎng)串已知問(wèn)題,但實(shí)際上并沒(méi)有多少改進(jìn); 在這些情況下,建議采用在線審計(jì)方法作為替代方案。源代碼審計(jì)工具通常會(huì)查找常見(jiàn)漏洞,只適用于特定的編程語(yǔ)言。 這種自動(dòng)化工具可用于節(jié)省時(shí)間,但不應(yīng)依賴(lài)于深入審計(jì)。 建議將這些工具作為基于政策的方法的一部分。
如果設(shè)置為低閾值,則大多數(shù)軟件審計(jì)工具會(huì)檢測(cè)到許多漏洞,尤其是在以前未審核過(guò)代碼的情況下。 但是,這些警報(bào)的實(shí)際重要性還取決于應(yīng)用程序的使用方式。 可能與惡意代碼鏈接的庫(kù)(并且必須對(duì)其免疫)具有非常嚴(yán)格的要求,例如克隆所有返回的數(shù)據(jù)結(jié)構(gòu),因?yàn)橛幸馄茐南到y(tǒng)的嘗試是預(yù)期的。
以上就是上海觀初關(guān)于代碼審計(jì)的分享,希望能給大家提供到幫助,了解更多關(guān)于代碼審計(jì)的問(wèn)題歡迎來(lái)電咨詢,如您需要,竭誠(chéng)為您服務(wù)。
相關(guān)新聞