漏洞掃描、滲透測試、程式碼審計三者之間有什麼差異？

　　在學習網路安全或者從事網路安全相關工作的時候，大家肯定都聽說過也接觸過漏洞掃描、滲透測試、程式碼審計，這是三種不同的安全評估型別，在網路安全保障體系中起到了十分重要的作用。那麼漏洞掃描、滲透測試、程式碼審計有什麼區別?以下是詳細的內容介紹。

　　漏洞掃描：指基於漏洞資料庫，透過掃描等手段對指定的遠端或者本地計算機系統的安全脆弱性進行檢測，發現可利用漏洞的一種安全檢測行為。

　　滲透測試：指經過使用者授權後，安全服務人員以模擬駭客的方式對目標系統進行入侵，找出系統存在的漏洞。

　　程式碼審計：指由具備豐富編碼經驗並對安全編碼原則及應用安全具有深刻理解的安全服務人員對系統的原始碼和軟體架構的安全性、可靠性進行全面的安全檢查。

　　三種安全評估手段本質上都是針對資訊系統找出潛在的安全漏洞，但存在著區別：

　　漏洞掃描是利用掃描工具在網路裝置中發現潛在漏洞的形式，比如防火牆、路由器、交換機、伺服器等。整個過程是自動化的，專注於網路或者應用層上的潛在以及已知的漏洞。這種方式能夠快速發現風險，但發現的漏洞不全面，是企業和組織進行資訊系統合規度量和審計的一種基礎手段。

　　滲透測試需要具有豐富經驗的安全服務人員進行作業，這種安全評估方式在應用層面或網路層面都可以進行，也可以針對具有功能、部門或者某些資產。滲透測試工作往往作為風險評估的一個重要環節，為風險評估提供重要的原始參考資料。相對於漏洞掃描而言，滲透測試的花銷更高，因為滲透在漏掃的基礎上能挖掘更深層次的漏洞，時間也多於漏掃。

　　相較於前面說的兩種方式，程式碼審計比滲透測試和漏洞掃描在發現漏洞的問題上，能夠更加全面些。

　　總體來講，漏洞掃描透過自動掃描工具能夠快速發現存在風險，滲透測試、程式碼審計則是透過人工驗證，發現的漏洞會更加深入和全面。