程式碼審計是什麼？網路安全實戰學習技能

　　原始碼審計是網路安全技術工作的重要內容，是網路安全工程師必備技能。那程式碼審計到底是什麼？靜態測試又是什麼？兩者有什麼聯絡嗎？

　　程式碼審計是什麼？靜態測試是什麼？

　　程式碼審計就是檢查原始碼中的安全缺陷，檢查程式原始碼是否存在安全隱患，或者有編碼不規範的地方，透過自動化工具或者人工審查的方式，對程式原始碼逐條進行檢查和分析，發現這些原始碼缺陷引發的安全漏洞，並提供程式碼修訂措施和建議。

　　程式碼審計是一種以發現程式錯誤，安全漏洞和違反程式規範為目標的原始碼分析。軟體程式碼審計是對程式設計專案中原始碼的全面分析，旨在發現錯誤，安全漏洞或違反程式設計約定。它是防禦性程式設計範例的一個組成部分，它試圖在軟體釋出之前減少錯誤。

　　靜態測試是指不執行被測程式本身，僅透過分析或檢查源程式的文法、結構、過程、介面等來檢查程式的正確性，找出程式中存在的風險，例如不匹配的引數、不適當的迴圈巢狀和分支巢狀、不允許的遞迴、未使用過的變數、空指標的引用和可疑的計算等。靜態測試結果可用於進一步的查錯，併為測試用例選取提供指導。

　　靜態測試包括程式碼檢查、靜態結構分析、程式碼質量度量等。靜態測試主要由人工進行，充分發揮人的邏輯思維優勢，同時藉助軟體工具自動進行。其中程式碼檢查包括程式碼走查、桌面檢查、程式碼審查等，主要檢查程式碼和設計的一致性、程式碼對標準的遵循、可讀性，程式碼的邏輯表達的正確性、程式碼結構的合理性等方面。