源代码审核是分析和评估任何网站,Web应用程序,Web服务或任何其他软件的源代码的结构化方法。大多数情况下,这个过程在开发期间或在进入生产环境之前完成。
虽然源代码审核可以用于寻找安全缺陷和漏洞的目的,例如查找错误或评估最佳实践。
在大多数情况下,代码审核涉及手动分析和自动化工具的组合。由于审核员正在直接检查源代码,所以他们往往比开发者本身有更深入的知识 - 特别是在安全漏洞方面。
审计员经常使用能够扫描代码并提供详细分析的自动化工具。虽然一些工具能够扫描多种语言,例如VisualCodeGrepper,但其他工具具有特定的语言,例如RIPS(PHP),FlawFinder(C / C ++)或Brakeman(Ruby on Rails)。还可以在集成开发环境中使用工具,进一步简化流程。
什么是源代码审核?