程式碼安全審計,這四大誤區一定要搞清楚!
程式碼安全審計是指有開發和安全經驗的人員,透過閱讀開發文件和原始碼,以自動化分析工具或者人工分析為手段,查詢程式碼中的安全漏洞,從而確保程式碼質量,保障應用系統的安全執行。提到程式碼安全審計,很多人在理解上對它存在一定的誤區,對此小編特整理了這篇文章,希望對大家有所幫助。
誤區一、程式碼安全審計就是漏洞挖掘
提到程式碼安全審計,大家首先想到的就是可以從程式碼中找到各種各樣的安全漏洞。所以很多軟體開發人員或者管理人員都想用程式碼安全審計工具這種神器,一下子就能挖掘出很多新的、未知的漏洞。
程式碼安全審計工具雖然它可以發現程式中潛在的安全漏洞,但並不能算作是漏洞挖掘工具,特別是對於沒有較強安全知識和滲透攻擊知識的開發人員來說,程式碼安全審計工具就是安全編碼的輔助工具。
從字面上理解,程式碼審計它只是對程式碼安全性的複查、審查,檢視程式編寫是否符合相關要求和程式設計規範,是程式設計師的一種自查方式。程式碼安全審計工具也只是用自動化的工具去代替了人工審查而已。對於那些有較強安全知識和豐富滲透攻擊經驗的駭客們來說,程式碼安全審計工具又能看作是他們攻擊的輔助工具。這是因為他們常常可以利用程式碼安全審計工具查詢出來的蛛絲馬跡來找到那些深藏在程式碼深處的安全漏洞。
總而言之,程式碼安全審計工具對於開發人員來說,不能作為漏洞挖掘工具來使用,不然你會陷入第二個誤區。
誤區二、程式碼安全審計工具都會很高的誤報率
這個誤區就是上面第一個誤區的延伸,很多使用者或者開發人員常常抱怨程式碼安全審計工具的誤報率很高,因為檢測出來的漏洞大部分都不能被直接利用或者被滲透驗證。
當使用者把程式碼安全審計工具作為漏洞挖掘工具就會產生。原因是程式碼安全審計工具是以靜態的方式在程式中查詢所有可能存在的安全漏洞特徵,這些特徵表面上就是我們不安全的編碼方式,或者是不安全的程式設計習慣,這些方式是產生安全漏洞的必要條件,但不是絕對條件,不能用滲透的方式來驗證和證明。
程式碼安全審計的主要宗旨就是在編碼環節,以審計的方式去儘量減少和消除這些不安全的編碼方式和編碼習慣,確保不會有安全漏洞的產生。這個宗旨就是告訴開發人員在編碼的時候,把所有不好的、不安全的編碼方式規避掉,儘量以正確的方式,來編寫出安全的程式。
誤區三、程式碼安全審計應由專業人士來幹
程式碼安全審計工作並不是僅僅交給專業的人員來幹。這個誤區主要是存在於管理人員對軟體安全開發理念上的誤區。
程式碼安全審計是軟體安全開發的一個環節,程式碼安全審計如果想要有很好的效果,就一定要開發人員從開發意識上和編碼習慣上有所改變,如果只是把程式碼安全審計交由安全測試人員,甚至是外包的安全測試團隊來乾的話,效果一定是不好的。而往往管理人員會受到專業的事由專業的人員幹思想的影響,將程式碼安全審計工作只交給安全人員來做,甚至以服務的方式將其外包給安全服務團隊來做,這樣做真的只是程式碼安全審計了。
誤區四、程式碼安全審計越全面越好
程式碼安全審計並不是越全面越好,也要追求開發與安全的平衡,因為程式碼安全審計會給開發人員帶來知識上的挑戰和一定的工作量,開發人員如果一開始就受到太多安全漏洞特徵和安全編碼的約束時,很可能產生逆反心理,不予配合,甚至以各種理由拒絕修改,這樣很難開展工作,即使在強行手段下不得不配合,也會在修改時百般變通,能逃則避。
程式碼安全審計的正確方式是企業以自身特點為基礎,定製出一套安全人員和開發人員都能夠接受的程式碼安全審計標準,在企業中有序開展相關工作,並在後期不斷地補充和完善標準,使之成為一個既能迎合安全趨勢的不斷髮展,又能適合開發人員的安全審計標準,這樣才可以保障安全工作在企業中有序開展。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69952527/viewspace-2855765/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- Graudit程式碼安全審計
- python 安全編碼&程式碼審計Python
- 如何用 Python 手擼一個 GitLab 程式碼安全審計工具?PythonGitlab
- 關於雲安全的5大認知誤區,一定要認真看完!
- JFinalcms程式碼審計
- buu 程式碼審計
- CSCMS程式碼審計
- 美國安全審計公司Certik完成Punk.Network的智慧合約程式碼審計
- 什麼是程式碼審計?程式碼審計有什麼好處?
- 程式碼審計[一] [0CTF 2016]piapiapiaAPI
- 程式碼審計————目錄
- 程式碼審計是什麼?程式碼審計操作流程分為幾步?
- 記一次完整的PHP程式碼審計——yccms v3.4審計PHP
- 哪些業務場景需要做程式碼審計?程式碼審計很重要嗎?
- 記錄一次CMS的程式碼審計
- 記一次髮卡網程式碼審計
- 程式碼審計工具有哪些?網路安全課程學習
- 網站漏掃服務之程式碼審計安全學習網站
- Java新手會遇到的三大誤區,一定要避免!Java
- oasys系統程式碼審計
- 走近設計模式:寫程式碼一定要用設計模式嗎?設計模式
- Java程式設計師想要跳槽,一定要注意這些技巧!Java程式設計師
- 基於Java關鍵詞審計技巧?網路安全原始碼審計Java原始碼
- 程式碼審計中XSS挖掘一些體會
- 鏈獅科技一級程式碼審計出示報告
- 網路安全程式碼審計是什麼?操作流程有哪些?
- 網路安全裡面的程式碼審計難學嗎?如何學習?
- 程式碼審計是什麼?網路安全實戰學習技能
- 軟體測評中心▏軟體效能測試的這幾個誤區你一定要避免!!!
- Hackthebox bagel.dll 程式碼審計
- [JavaWeb]Shiro漏洞集合——程式碼審計JavaWeb
- 為什麼要做程式碼審計?
- Java 程式碼審計 — 1. ClassLoaderJava
- 程式碼審計入門總結
- Java程式碼審計入門篇Java
- 程式設計師面試 IT 公司,這些細節一定要注意!程式設計師面試
- Java程式碼審計篇 - ofcms系統審計思路講解 - 篇4 - XXE漏洞審計Java
- Java程式碼審計篇 - ofcms系統審計思路講解 - 篇2 - SQL隱碼攻擊漏洞審計JavaSQL