什么是代碼審計(jì)？

代碼審計(jì)顧名思義就是檢查源代碼中的安全缺陷，檢查程序源代碼是否存在安全隱患，或者有編碼不規(guī)范的地方，通過(guò)自動(dòng)化工具或者人工審查的方式，對(duì)程序源代碼逐條進(jìn)行檢查和分析，發(fā)現(xiàn)這些源代碼缺陷引發(fā)的安全漏洞，并提供代碼修訂措施和建議。

代碼審計(jì)（Code audit）是一種以發(fā)現(xiàn)程序錯(cuò)誤，安全漏洞和違反程序規(guī)范為目標(biāo)的源代碼分析。軟件代碼審計(jì)是對(duì)編程項(xiàng)目中源代碼的分析，旨在發(fā)現(xiàn)錯(cuò)誤，安全漏洞或違反編程約定。 它是防御性編程范例的一個(gè)組成部分，它試圖在軟件發(fā)布之前減少錯(cuò)誤。 C和C 源代碼是常見(jiàn)的審計(jì)代碼，因?yàn)樵S多語(yǔ)言（如Python）具有較少的潛在易受攻擊的功能（例如，不檢查邊界的函數(shù)）。

什么是代碼審計(jì)？常見(jiàn)的自動(dòng)化代碼審計(jì)工具有哪些？  

自從人類發(fā)明了工具開(kāi)始，人類就在不斷為探索如何更方便快捷的做任何事情，在科技發(fā)展的過(guò)程中，人類不斷地試錯(cuò)，不斷地思考，于是才有了現(xiàn)代偉大的科技時(shí)代。在安全領(lǐng)域里，每個(gè)安全研究人員在研究的過(guò)程中，也同樣的不斷地探索著如何能夠自動(dòng)化的解決各個(gè)領(lǐng)域的安全問(wèn)題。其中自動(dòng)化代碼審計(jì)就是安全自動(dòng)化繞不過(guò)去的坎。

這一次我們就一起聊聊自動(dòng)化代碼審計(jì)的發(fā)展史，也順便聊聊如何完成一個(gè)自動(dòng)化靜態(tài)代碼審計(jì)的關(guān)鍵。自動(dòng)化代碼審計(jì)在聊自動(dòng)化代碼審計(jì)工具之前，首先我們必須要清楚兩個(gè)概念，漏報(bào)率和誤報(bào)率。

- 漏報(bào)率是指沒(méi)有發(fā)現(xiàn)的漏洞/Bug

- 誤報(bào)率是指發(fā)現(xiàn)了錯(cuò)誤的漏洞/Bug

在評(píng)價(jià)下面的所有自動(dòng)化代碼審計(jì)工具/思路/概念時(shí)，所有的評(píng)價(jià)標(biāo)準(zhǔn)都離不開(kāi)這兩個(gè)詞，如何消除這兩點(diǎn)或是其中之一也正是自動(dòng)化代碼審計(jì)發(fā)展的關(guān)鍵點(diǎn)。

我們可以簡(jiǎn)單的把自動(dòng)化代碼審計(jì)（這里我們討論的是白盒）分為兩類，一類是動(dòng)態(tài)代碼審計(jì)工具，另一類是靜態(tài)代碼審計(jì)工具。

開(kāi)發(fā)源代碼審計(jì)服務(wù)內(nèi)容有哪些？

對(duì)用戶現(xiàn)有系統(tǒng)做源代碼安全審計(jì)，服務(wù)內(nèi)容主要分為工具自動(dòng)審計(jì)、系統(tǒng)架構(gòu)分析、接口安全、敏感信息查詢、重要信息修改、輸入合法性校驗(yàn)、數(shù)據(jù)傳輸加密、常見(jiàn)安全漏洞審計(jì)和合規(guī)控制等，覆蓋挖掘源代碼安全漏洞，合規(guī)控制；協(xié)助修復(fù)漏洞，指導(dǎo)安全編碼；定期匯總源代碼安全漏洞，進(jìn)行針對(duì)性安全培訓(xùn)；制定安全編程規(guī)范，推動(dòng)安全開(kāi)發(fā)等方面。

服務(wù)范圍包括使用ASP、ASP.NET（VB/C#）、JSP（JAVA）、PHP、Python、node.js等主流語(yǔ)言開(kāi)發(fā)的B/S應(yīng)用系統(tǒng)、使用C 、JAVA、C#、VB、Lua等主流語(yǔ)言開(kāi)發(fā)的C/S應(yīng)用系統(tǒng)，以及使用XML語(yǔ)言編寫(xiě)的文件等。

1、全程化服務(wù)，有效保證服務(wù)質(zhì)量

幫助用戶發(fā)現(xiàn)審計(jì)目標(biāo)的安全問(wèn)題，并提供的建議和指導(dǎo)，做到問(wèn)題發(fā)現(xiàn)、修補(bǔ)、驗(yàn)證的全程跟蹤。每一次服務(wù)都會(huì)在前一次的基礎(chǔ)上尋找新的突破口，大程度地保證審計(jì)目標(biāo)的安全性。

2、化服務(wù)，解決方案行之有效

實(shí)施人員在源代碼安全審計(jì)、安全開(kāi)發(fā)、安全加固等領(lǐng)域均有豐富的經(jīng)驗(yàn)，能夠?yàn)橛脩籼峁┣袑?shí)有效的解決方案和化服務(wù)，幫助用戶解決重點(diǎn)、難點(diǎn)問(wèn)題。

3、降低成本，節(jié)省投資

審計(jì)過(guò)程中，輔助運(yùn)用自動(dòng)化的靜態(tài)代碼審計(jì)工具，以有效節(jié)省代碼審計(jì)的人力成本，提高審計(jì)工作效率，為用戶降低資金投入。