源代码审计(Code Review)是由具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。
源代码审计服务的目的在于充分挖掘当前代码中存在的安全缺陷以及规范性缺陷,从而让开发人员了解其开发的应用系统可能会面临的威胁,并指导开发人员正确修复程序缺陷。
审计是一种威慑控制措施,对于审计的预知可以潜在地威胁用户不执行未授权的动作,不过,审计于是一种被动的检测控制措施,因为审计只能确定实体的行为历史,也不能阻止实体实施攻击。
源代码审计是通过静态分析程序源代码,找出代码中存在的安全性问题。
模糊测试则需要将测试代码执行起来,然后通过构造各种类型的测试数据来判断代码对数据的处理是否正常,以发现代码中存在的安全性问题。