什么是代码审计？

代码审计顾名思义就是检查源代码中的安全缺陷，检查程序源代码是否存在安全隐患，或者有编码不规范的地方，通过自动化工具或者人工审查的方式，对程序源代码逐条进行检查和分析，发现这些源代码缺陷引发的安全漏洞，并提供代码修订措施和建议。

代码审计（Code audit）是一种以发现程序错误，安全漏洞和违反程序规范为目标的源代码分析。软件代码审计是对编程项目中源代码的分析，旨在发现错误，安全漏洞或违反编程约定。 它是防御性编程范例的一个组成部分，它试图在软件发布之前减少错误。 C和C ++源代码是常见的审计代码，因为许多语言（如Python）具有较少的潜在易受攻击的功能（例如，不检查边界的函数）。

商业化源代码审计工具对比

近年来，大部分安全问题来自于应用层安全，应用层的安全问题主要由软件源代码中的安全缺陷所导致。有关源代码安全的研究越来越多，源代码安全成为了解决信息安全问题的一个重要方向，也是信息安全中的一个新兴领域。

在开发阶段引入代码检测解决安全问题的思路开始被很多企业所认可。源代码检测属于程序分析领域，需要具有相关领域的技术储备，很多传统的安全厂商都没有相关的商业化技术产品。网上有很多开源的审计工具，但检测能力、检测精度较差，本文结合多年对源代码检测产品的了解，介绍三款较为成熟的商业化源代码检测产品。

Fortify Software公司是一家总部位于美国硅谷，致力于提供应用软件安全开发工具和管理方案的厂商。Fortify为应用软件开发组织、安全审计人员和应用安全管理人员提供工具并确立佳的应用软件安全实践和策略，帮助他们在软件开发生命周期中花少的时间和成本去识别和修复软件源代码中的安全隐患。

Checkmarx 是以色列的一家高科技软件公司。它的产品CheckmarxCxSuite专门设计为识别、跟踪和修复软件源代码上的技术和逻辑方面的安全风险。了以查询语言定位代码安全问题，其采用的词汇分析技术和CxQL查询技术来扫描和分析源代码中的安全漏洞和弱点。

360代码卫士是360企业安全集团基于多年源代码安全实践经验推出的新一代源代码安全检测解决方案，包括源代码缺陷检测、合规检测、溯源检测三大检测功能，同时360代码卫士还可实现软件安全开发生命周期管理，与企业已有代码版本管理系统、缺陷管理系统、构建工具等无缝对接，将源代码检测融入企业开发流程，实现软件源代码安全目标管理、自动化检测、差距分析、Bug修复等功能，帮助企业以小代价建立代码安全保障体系并落地实施，构筑信息系统的“内建安全”。

代码安全审计报告主要包含哪些内容

对于审计发现的问题，我们会对发现的问题进行相关分析并出具报告。针对具体的漏洞，报告中主要会包含以下内容：

1、指出该安全漏洞可能对目标系统产生的影响

2、对致漏洞的具体代码进行定位，分析形成漏洞的具体原因

3、对漏洞利用方式进行阐述，可以在客户提供的测试系统中进行验证测试

4、对漏洞的可利用行和风险等级进行评定

5、给出修复该漏洞的正确方案

软件开发所面临的安全问题

1、代码与架构复杂

几十万、几百万行代码、一个业务分几十个模块几十个代码仓库家常便饭；开发语言多种多样，各种自研框架、流行框架应接不暇、架构还非常复杂。

以上两个问题对审计人员、SAST工具来说无疑都是很大的挑战。

2、工具准召率

没有工具是所谓银弹，规则、插件准召率很低，需要根据开发语言、编码风格自定义；工具对逻辑漏洞的无力，与业务逻辑漏洞大量曝光的漏洞态势之间的矛盾，工具、系统的运营也需要专门人力投入，从而不断提高工具的准召率。

3、心态

审计人员出于KPI的考虑，想着既然花了很长时间做了代码审计，为了体现工作量就必须说点什么，如果系统本来没有问题却在那挑刺，会更加不信任你。对于甲方代码审计人员，审计任务多、代码庞大是常态，如果不考虑后果的只提高速度，这种方式会遗漏掉细节，导致不能的审查。