代码安全审计的目的是发现代码中的安全缺陷,提高软件系统的安全性并降低安全风险。它主要关注代码层面的安全风险、代码质量以及导致漏洞的各种脆弱性因素。
在系统开发阶段或应用阶段,都应该对安全性问题进行审计。程序代码的质量在很大程度上决定了程序的安全性,而代码审计是保证代码质量最快捷有效的手段之一。
在风险评估过程中,代码审计是一种很好的补充,可以充分挖掘当前代码中存在的安全缺陷和规范性缺陷,从而让开发人员了解其开发的应用系统可能会面临的威胁,并指导他们正确修复程序缺陷。
需要实施代码审计的场景包括: (1)新系统上线前:新上线系统对互联网环境的适应性较差,代码审计可以充分挖掘其中的安全缺陷,避免系统刚上线就遇到重大攻击。 (2)运行中的系统:提前发现系统的安全隐患,部署好安全防御措施,确保系统的每个环节在未知环境下都能经得起网络攻击者的挑战。
