源代碼審計(jì)：

顧名思義就是檢查源代碼中的安全缺陷，檢查程序源代碼是否存在安全隱患,，或者有編碼不規(guī)范的地方,，通過(guò)自動(dòng)化工具或者人工審查的方式，對(duì)程序源代碼逐條進(jìn)行檢查和分析,，發(fā)現(xiàn)這些源代碼缺陷引發(fā)的安全漏洞,，并提供代碼修訂措施和建議。

源代碼審計(jì)是一種以發(fā)現(xiàn)程序錯(cuò)誤,，安全漏洞和違反程序規(guī)范為目標(biāo)的源代碼分析,。軟件代碼審計(jì)是對(duì)編程項(xiàng)目中源代碼的全面分析，旨在發(fā)現(xiàn)錯(cuò)誤,，安全漏洞或違反編程約定,。 它是防御性編程范例的一個(gè)組成部分，它試圖在軟件發(fā)布之前減少錯(cuò)誤,。 C和C ++源代碼是常見(jiàn)的審計(jì)代碼,，因?yàn)樵S多語(yǔ)言（如P y t h o n）具有較少的潛在易受攻擊的功能（例如，不檢查邊界的函數(shù)）,。

對(duì)象：

我們的代碼審計(jì)對(duì)象包括并不限于對(duì)W i n d o w s和L i n u x系統(tǒng)環(huán)境下的以下語(yǔ)言進(jìn)行審核：j a v a,、C、C #,、A S P,、P H P、J S P,、N E T,。

內(nèi)容包括

1.前后臺(tái)分離的運(yùn)行架構(gòu)

2.W E B服務(wù)的目錄權(quán)限分類

3.認(rèn)證會(huì)話與應(yīng)用平臺(tái)的結(jié)合

4.數(shù)據(jù)庫(kù)的配置規(guī)范

5.S Q L語(yǔ)句的編寫(xiě)規(guī)范

6W E B服務(wù)的權(quán)限配置

7.對(duì)抗爬蟲(chóng)引擎的處理措施

審核軟件時(shí)，應(yīng)對(duì)每個(gè)關(guān)鍵組件進(jìn)行單審核,，并與整個(gè)程序一起進(jìn)行審核,。 搜索高風(fēng)險(xiǎn)漏洞并解決低風(fēng)險(xiǎn)漏洞是個(gè)好主意。 高風(fēng)險(xiǎn)和低風(fēng)險(xiǎn)之間的漏洞通常存在,，具體取決于具體情況以及所使用的源代碼的使用方式,。 應(yīng)用程序滲透測(cè)試試圖通過(guò)在可能的訪問(wèn)點(diǎn)上啟動(dòng)盡可能多的已知攻擊技術(shù)來(lái)嘗試降低軟件中的漏洞，以試圖關(guān)閉應(yīng)用程序,。這是一種常見(jiàn)的審計(jì)方法,，可用于查明是否存在任何特定漏洞，而不是源代碼中的漏洞,。 一些人聲稱周期結(jié)束的審計(jì)方法往往會(huì)壓倒開(kāi)發(fā)人員,，終會(huì)給團(tuán)隊(duì)留下一長(zhǎng)串已知問(wèn)題,，但實(shí)際上并沒(méi)有多少改進(jìn); 在這些情況下，建議采用在線審計(jì)方法作為替代方案,。