什么是代码审计？

 

随着《“十四五”软件和信息技术服务业发展规划》白皮书出台，提高我国软件整体质量，持续完善国家工业控制系统信息安全态势感知网络，我国开始大力发展第三方软件测评服务机构，其中代码审计就是其中之一

什么是代码审计

代码安全审计的主要宗旨就是在编码环节，以自我审计的方式去尽量减少和消除这些不安全的编码方式和编码习惯，确保不会有安全漏洞的产生。

代码审计用工具会有很高的误报率？

首先这是一个误区。代码审计的静态审计是通过审计工具查找所有可能存在的安全漏洞特性，这些可能存在的安全漏洞实际很大一部分是因为不安全的编程习惯造成的。但是这些方式是产生安全漏洞的必要条件，而不是绝对条件，也不能用渗透的方式来验证和证明。

这个宗旨就告诉开发人员在编码的时候，把所有不安全的编码方式规避掉，并尽量以正确的方式来编写出安全的程序。当代码安全审计工具辅助开发人员发现了这些不好的编码方式时，我们不必要去纠结它是否能够被利用或者被渗透验证。而是用最简单、最直接、成本最低的方式把它消除掉。这也是 SDLC 开发模式所倡导的“在软件开发每一个环节中来避免安全漏洞的产生”的安全开发理念。当我们以帮助开发人员在代码中查找和消除所有不安全的编码方式为目标的时候，代码安全审计工具的所谓误报率就变得很小了。

什么样的审计报告才能作为项目验收使用？

首先代码审计机构必须取得相应的国家资质，例如CMA或者CNAS资质，认可检测服务范围并必须含代码审计这项测试服务。这样的审计报告才能被认为是有效力的。其次，在代码审计的服务内容里还包含了回归测试，在第一审计结束后我们需要配合承建方进行整改，将高危，中危的代码重新合理的规范的编写，最后再出具终报。