源代码审计普及

源代码审计（Code Review）是由具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。

源代码审计服务的目的在于充分挖掘当前代码中存在的安全缺陷以及规范性缺陷，从而让开发人员了解其开发的应用系统可能会面临的威胁，并指导开发人员正确修复程序缺陷。

一、 源代码审计与模糊测试

在漏洞挖掘过程中有两种重要的漏洞挖掘技术，分别是源代码审计和模糊测试（Fuzzing）。

源代码审计是通过静态分析程序源代码，找出代码中存在的安全性问题；而模糊测试则需要将测试代码执行起来，然后通过构造各种类型的数据来判断代码对数据的处理是否正常，以发现代码中存在的安全性问题。

由于采用的分析方法不同，这两项技术的应用场所也有所不同。源代码审计常用于由安全厂商或企业的安全部门发起的代码安全性检查工作；模糊测试则普遍用于软件开发和测试部门的程序测试。

二、做源代码审计的必要性

实践证明，程序的安全性是否有保障很大程度上取决于程序代码的质量，而保证代码质量最快捷有效的手段就是源代码审计。

在风险评估过程中，源代码审计是一般脆弱性评估的一种很好的补充，天磊卫士源代码审计服务的代码覆盖率为100%，能够找到一些安全测试所无法发现的安全漏洞。

同时，由于主持源代码审计的安全服务人员一般都具备丰富的安全编码经验和技能，所以其针对性比常见的脆弱性评估手段会更强、粒度也会更为细致。

三、代码审计范围

天磊卫士源代码审计服务的范围包括使用ASP、ASP.NET（VB/C#）、JSP（JAVA）、PHP等主流语言开发的B/S应用系统、使用C++、JAVA、C#、VB等主流语言开发的C/S应用系统，以及使用XML语言编写的文件、SQL语言和数据库存储过程等。

四、