代码审计的目标是对海量代码进行检查,进而发现有缺陷的代码,在此过程中,应采用先进的安全审计技术,保证审计的全面性。对此,本文将对代码审计要点进行分析。
1、代码扫描
采用代码扫描过程中,应采用有效的工具对数据流、配置形式等进行分析。代码扫描工具类型较多,不同扫描工具的应用特点和侧重点有一定的区别,通常可采用侧重于代码安全审计的Fortify作为扫描工具。
2、人工分析
在利用工具进行扫描时,可能会有漏洞,对此,还应组织工作人员进行人工扫描。对系统设计文档进行分析,对各项业务流程进行跟踪管理,进而发现业务逻辑设计中的不足。
3、代码反编译
在代码反编译中,可采用Java,在代码变异后,打成jar包,对此,可利用反编译方式,将jar包转换为源代码文件,然后再进行深入分析。
4、漏洞验证
在代码安全审计后,可发现代码漏洞,其中有些漏洞可被利用,对此,可模拟黑客手法,对漏洞进行有效利用,其中最为常见的方法为渗透测试法,通过利用渗透测试方式,能够对漏洞对于系统的影响进行全面分析。另外,在进行漏洞验证时,对于可以利用的漏洞,可根据代码分析结构构造利用脚本,出发漏洞,对服务器进行有效控制。
上文就是对于代码审计的注意事项,通过对计算机系统进行代码审计,能够及时发现系统漏洞,并采取有效的预防控制措施,保证系统安全。