发布时间:2019-09-25 11:10:13 阅读:12267
一提到代码安全审计,大家首先想到的就是可以从代码中找到各种各样的安全漏洞。所以很多软件开发人员或者管理人员都想用代码安全审计工具这种“神器”,一下子就能挖掘出很多新的、未知的“漏洞”。不得不说这是第一个误区。代码安全审计工具虽然可以发现程序中潜在的安全漏洞,但并不能算作是漏洞挖掘工具,特别是对于没有较强安全知识和渗透攻击知识的开发人员来说。
代码安全审计工具就是安全编码的辅助工具。从字面上理解“代码审计”(Code Review),它只是对代码安全性的复查、审查,查看程序是编写是否符合相关要求和编程规范,是程序员的一种自查方式。所以代码安全审计工具也只是用自动化的工具去代替了人工审查而已。而对于那些有较强安全知识和丰富渗透攻击经验的“黑客”们来说,代码安全审计工具又能看作是他们“攻击”的辅助工具。这是因为他们常常可以利用代码安全审计工具查找出来的“蛛丝马迹”,来找到那些深藏在代码深处的“0day” 或“获 root 级权限”的安全漏洞。
所以这就是我们可以看到有很多渗透攻击的大牛们,也纷纷编写一些小的、很实用的代码审计工具来查找漏洞的原因。但我还是要说,代码安全审计工具对于开发人员来说,不能作为漏洞挖掘工具来用,不然你就会陷入第二个重大误区。