代码审计指的是检查源代码中的安全缺陷,检查程序源代码是否存在安全隐患,或者有编码不规范的地方,通过自动化代码扫描工具CA或者人工审查的方式,对程序源代码逐条进行检查和分析。 代码审计是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析,能够找到普通安全测试所无法发现的安全漏洞。

那么,为什么需要做代码审计?代码审计能带来什么好处? 98%及以上的大型网站以及系统都被拖过库,泄漏了大量用户数据或系统暂时瘫痪,甚至闹过乌龙,英国机场遭勒索软件袭击,航班信息只能手写。 通常来说,“黑客”可以利用的漏洞无非有以下几个方面:

(1)软件编写存在bug;

(2)系统配置不当;

(3)口令失窃;

(4)嗅探未加密通讯数据;

(5)设计存在缺陷;

(6) 系统攻击;

因此提前做好代码审计工作,非常大的好处就是将先于黑客发现系统的安全隐患,提前部署好安全防御措施,保证系统的每个环节在未知环境下都能经得起黑客挑战,进一步巩固客户对企业及平台的信赖。

代码审计工具CA是根据预定的规则对代码进行扫描分析,检查代码是否符合编码规范和各种规则,查找可能的错误,无需编写测试用例可以实现代码审计测试,节省大量的人力。