代码审计必要性探讨

已于 2023-12-27 15:58:32 修改
阅读量1k 收藏 8
点赞数 7
分类专栏: 工作总结 文章标签: log4j
于 2023-12-27 14:23:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013252773/article/details/135244312
版权

1、背景

为了保证代码的质量,需要一系列的流程来进行保证:

今天要探讨的是代码审计的必要性。

2、代码审计

代码审计的做法多种多样,我理解必须解决以下问题 ,才可能有效:

  • 核心:审计的本质是对比,必须用一个数据与一个预期的数据进行比对
  • 稳定:审计程序需要稳定,不能经常变更。经常变更带来的是审计程序自身的bug。
  • 简单:审计程序应该尽量简单,不应该比业务逻辑还复杂。否则,靠什么保证审计程序的正确性呢?

下面对比下代码审计的几种方式:

方案优点        缺点
明细数据与汇总数据的对比:比如有一张表是明细数据,一张是定期汇总后的数据,为了保证数据的正确性,定期进行审计

1、对比的双方非常明确

2、审计程序简单易懂

字段的变化会引起审计程序的不稳定
审计请求参数的正确性:参数数量、必填、正确性

1、对比双方不清晰,因为请求参数可能来源于多张表,而且经过处理之后的数据,无法直接获取到。

2、基本上是每个请求的审计都需要单独写,请求发生改变就要同步调整

3、审计程序,与业务实现逻辑基本类似

4、如何保证审计程序的正确性、及时性是个难题。

方案1能起到一定的审计作用。

方案2难度较大,收益不明显,不如把该环节前移到单元测试阶段执行。

丨马平生丨
关注
专栏目录
代码审计的重要性及意义
m0_53493378的博客
03-19 430
代码审计的重要性及意义
代码审计在软件安全中的重要性和意义
Y_______Z的博客
03-17 458
代码审计在软件安全中的重要性和意义
代码审计是什么,为什么需要代码审计
HoewDec的博客
12-14 1055
随着软件开发技术的不断发展,代码审计变得越来越重要,因为它可以帮助帮助企业从安全角度对应用系统的所有逻辑路径进行测试,通过分析源代码,充分挖掘代码中存在的安全缺陷以及规范性缺陷。模糊测试工具可以自动生成大量的测试用例,并监控程序的运行状态,以发现潜在的问题和漏洞。代码审计是保障软件质量与安全的重要手段,通过对代码的全面审查和分析,能够发现潜在的安全漏洞和错误,提高软件的安全性和稳定性。动态分析工具可以监控程序的运行状态,并生成详细的报告,指出潜在的问题和漏洞。代码审计是一个持续的过程,需要不断改进和优化。
代码审查的必要性
bamacuochengxian的博客
02-22 678
从软件测试的角度来说,非常有必要。 且把提测后,测试人员进行的活动叫做“计算机测试”,而编码后提测前的代码审查叫做“人工测试”。 1.代码检查、走查与评审,这种阅读代码的行为也是测试的一部分,属于“人工测试”。人工测试技术在查找错误方面非常有效,以致于任何编程项目都应该使用其技术。应该在程序开始编码之后、基于计算机的测试开始之前使用这些方法。 代码检查与走查是在提测前由程序员阅读自己程序的过程的改...
使用 ChatGPT 辅助进行代码审计小心得-实战版
05-16
在本文中,我们将探讨如何利用ChatGPT辅助进行代码审计,特别是在面对不熟悉的语言或复杂的固件场景时。代码审计是安全领域中的一个重要环节,它旨在发现潜在的漏洞和安全风险。随着人工智能技术的发展,ChatGPT作为...
代码审计--源代码审计思路
01-27
本文主要探讨了两种代码审计方法:逆向回溯和业务类型的正向审计,以及这两种方法在实际应用中的优缺点。 逆向回溯审计主要针对明显的安全漏洞,如已知的通用漏洞。这种方式能快速定位问题,但其局限性在于可能无法...
深度剖析:源代码审计服务的必要性与客户收益
代码审计服务技术文档深入探讨了网络安全领域的一项关键服务——源代码审计,这是一种由专业安全人员对系统源代码和架构进行详细检查的安全评估活动。该服务的核心目标是识别代码中的安全漏洞和规范性问题,帮助...
代码审计之彩虹代刷网系统1
08-03
在本文中,我们将深入探讨一个针对某代刷网站系统的代码审计案例,该系统可能存在多种安全问题,特别是SQL注入漏洞。 首先,【标题】提到的“代码审计之彩虹代刷网系统1”是一个关于网络安全专家对代刷网站进行安全...
php代码审计之命令注入(3)
01-09
- 定期进行代码审计,检查可能存在的安全漏洞。 总之,理解这些函数的工作原理以及如何安全地使用它们对于编写安全的 PHP 应用至关重要。忽视命令注入的防范可能导致数据泄露、服务器被接管等严重后果。因此,开发...
2015061808 - 代码审查的必要性
bellsky
06-18 549
转载地址已经忘记.        作者讲述了一家公司需要实施某个非常重要的模块,但是高级开发人员Mr Senior很忙。因此将模块给了新手Mr Newbie花了4个月来写模块,两个星期时间来修复QA发现大量bug,浪费了技术支持无数个小时用于揪出QA没有发现的bug,甚至导致客户以软件满是bug为由取消了合同,等等。最终,高级程序员站出来用了一个月的时间从头重写,然后在经过QA快速的检查之后,一
代码审计方法与准备
灰蜗牛
09-19 3543
代码审计方法与准备
代码审计
weixin_42400722的博客
07-05 7605
代码审计网是端玛科技联合业界著名的软件安全咨询服务公司Security Innovation、最优秀的源代码安全扫描产品及服务提供商VeraCode、Micro Focus、(ISC)²国际信息系统安全技术联盟、公安部第三研究所——国际技贸、电子科技大学——网络空间安全研究中心、华中科技大学——计算机科学与技术学院、中国软件测评机构联盟,北京时代新威及多家业内知名安全公司共同打造的专业性代码审计服...
代码审查的必要性和最佳实践
琦彦
05-20 4814
目录 代码审查的流程 代码审查的争议 加班要累死了,完成项目都来不及,还做什么代码审查? 代码审查太费时间,改来改去无非是一些格式、注释、命名之类不痛不痒的问题。 团队的习惯和流程就是不做代码审查,大家都是这么过来的。 代码审查不利于团建,因为经常有程序员因为观点不同在代码审查的时候吵起来。 代码审查的好处 代码审查是个人和团队提升的最佳途径之一。 识别出设计的缺陷,找到安全、性能、依赖和兼容性等测试不易发现的问题。 设立团队质量标杆的最佳实践方式 代码审查工具 一些 Code Re
Nop平台核心代码阅读导引
canonical的博客
10-30 1163
Nop平台核心引擎的实现代码都很简短,一般模块的核心代码量都是5000行左右的量级,只有ORM比较复杂一些,1万多行。虽然代码很短,实际实现的功能特性却很多,要把所有细节设计都介绍到,文档量还是不小。建议有问题可以先查看源码,核心特性都有单元测试支持,可以通过调试单元测试来学习源码(直接在关键类中加断点,然后沿着堆栈向上看)。Nop平台所有的设计都非常简单直接,一般核心代码集中在少数几个类中。
Spring框架
2301_80768157的博客
10-31 924
spring是轻量级的开源javaee框架,Spring可以解决企业应用开发的复杂性。
第三百零八节 Log4j教程 - Log4j日志到数据库
最新发布
2301_78772942的博客
11-02 469
第三百零八节 Log4j教程 - Log4j日志到数据库
第三百零三节 Log4j教程 - Log4j安装
2301_78772942的博客
10-31 807
第三百零三节 Log4j教程 - Log4j安装
第三百零五节 Log4j教程 - Log4j日志记录方法
2301_78772942的博客
10-31 862
第三百零五节 Log4j教程 - Log4j日志记录方法
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值