7.3.3  代碼安全審核

1.源代碼審核的概念和原理

為了保障安全編程規范的執行，以及在開發階段由開發小組發現安全問題。需要采用源代碼審核的技術手段來予以保障。

源代碼審核是指無需運行被測代碼，僅通過分析或檢查源程序的語法、結構、過程、接口等來檢查程序的正確性，報告源代碼中的可能導致安全弱點的薄弱之處，找出代碼隱藏的錯誤和缺陷，如參數不匹配、有歧義的嵌套語句、錯誤的遞歸、非法計算、可臺旨出現的空指針引用等。統計證明，在整個軟件開發生命周期中，30010至'70%的代碼邏輯設計和編碼缺陷是可以通過源代碼審核來發現的。

源代碼審核可以采用人工審核和工具審核兩種方式進行，可以看出，源代碼審核往往要求大量的時間消耗和相關知識的積累，采用人工審核的方式不僅費時費力，還極容易產生遺漏。因此，對于軟件開發團隊來說，使用源代碼審核工具自動化執行代碼檢查和分析，禽邑夠極大地提高軟件可靠性并節省軟件開發和測試成本。

源代碼審核工具的優勢在于：

◇幫助程序開發人員自動執行靜態代碼分析，快速定位代碼隱藏錯誤和缺陷；

◇明顯地減少了在代碼逐行檢查上花費的時間，提高軟件可靠性并節省軟件開發成本；

◇支持知識庫的升級，也支持用戶添加自定義的安全規則。

因此，在軟件編碼完成后，使用源代碼審核工具，從客觀角度對程序員編寫的代碼進行一次全面的安全檢查，能極大地減少軟件中的安全問題被帶人隨后的軟件生命周期階段的可能性。