误区:代码安全审计工具都会很高的误报率

发布时间:2019-09-25 11:11:09 阅读:11546

常常听到很多用户或者开发人员讨论说代码安全审计工具的误报率很高,因为检测出来的漏洞大部分都不能被直接利用或者被渗透验证。这是一个很大的误区,这个误区就是上文的第一个误区的延伸,即当用户把代码安全审计工具作为漏洞挖掘工具时就会产生。

代码安全审计工具是以静态的方式在程序中查找所有可能存在的安全漏洞特征,这些特征表面上就是我们不安全的编码方式,或者说是不安全的编程习惯。但是这些方式是产生安全漏洞的必要条件,而不是绝对条件,也不能用渗透的方式来验证和证明。

打个形象的比喻:人人都知道吸烟有害健康,吸烟会导致呼吸道疾病或者肺癌,但我们不能证明某人吸烟后就一定会得肺癌。所以在我看来,代码安全审计的主要宗旨就是在编码环节,以自我审计的方式去尽量减少和消除这些不安全的编码方式和编码习惯,确保不会有安全漏洞的产生。

这个宗旨就告诉开发人员在编码的时候,把所有不好的、不安全的编码方式规避掉,并尽量以正确的方式,来编写出安全的程序。当代码安全审计工具辅助开发人员发现了这些不好的编码方式时,我们不必要去纠结它是否能够被利用或者被渗透验证。而是用最简单、最直接、成本最低的方式把它消除掉就 OK 了。这也是 SDLC 开发模式所倡导的“在软件开发每一个环节中来避免 安全漏洞的产生”的安全开发理念。当我们以帮助开发人员在代码中查 找和消除所有不好的、不安全的编码方式为目标的时候,代码安全审计 工具的所谓误报率就变得很小、很小了。

返回顶部
意见反馈
意见内容
您的姓名
您的电话
验证码