安全漏洞发觉方法:
1.白盒测试:
为源代码评审,这种方法也可以在自动化工具的辅助下完成,源代码分析工具一般可以分为三类:
1.1.1,编译时检查器:这种工具通常与编译器记成子啊一起,但是主要查找与安全性有关的问题而不是应用程序的功能问题
1.1.2,源代码浏览器:这种工具是专门设计用于辅助人工检查和评审源代码的软件工具,这类工具允许评审者执行代码的高级搜索,枚举代码,以及在代码的交叉引用位置之间进行导航
1.1.3,自动源代码审核工具:这种工具用于扫描源代码以及自动识别可能的关注区域,同大多数安全性工具一样,源代码自动审核工具也有开源的自由软件解决方案,除此之外这类工具更倾向于关注具体的编程语言,因此如果目标原件使用大量不同的编程语言的话,可能语言多种源代码自动审核工具
1.2,白盒测试的优缺点:
1.2.1,优点:覆盖能力(优于白盒测试能获得所有的源代码,因此代码评审允许完全的覆盖)
1.2.2,缺点:复杂性(源码分析工具是不完善的,有可能报告出伪问题)
可用性不高(window下软件基本不开源,所以一般只能适用于UNIX下)