随着代码安全审计被越来越多的软件开发企业和开发人员所了解和认识,采用代码安全审计的方式来避免软件中安全漏洞的产生也正在各个企业中积极地开展。中研院软件测评中心做为业内资深老兵,在与很多企业的管理人员和安全技术人员交流过程中,发现大家或多或少对代码安全审计和代码安全审计工具还有一些理解上的误区,造成了工作上的困扰。
误区一、代码安全审计就是漏洞挖掘
一提到代码安全审计,大家首先想到的就是可以从代码中找到各种各样的安全漏洞。代码安全审计工具虽然可以发现程序中潜在的安全漏洞,但并不能算作是漏洞挖掘工具,特别是对于没有较强安全知识和渗透攻击知识的开发人员来说。
代码安全审计工具是对代码安全性的复查、审查,查看程序是编写是否符合相关要求和编程规范,是程序员的一种自查方式。所以代码安全审计工具也只是用自动化的工具去代替了人工审查而已。而对于那些有较强安全知识和丰富渗透攻击经验的“黑客”们来说,常常可以利用代码安全审计工具查找出来的“蛛丝马迹”,来找到那些深藏在代码深处的“0day” 或“获 root 级权限”的安全漏洞。但我还是要说,代码安全审计工具对于开发人员来说,不能作为漏洞挖掘工具来用,不然你就会陷入第二个重大误区。
误区二、代码安全审计工具都会很高的误报率
我常常听到很多用户或者开发人员讨论说代码安全审计工具的误报率很高,因为检测出来的漏洞大部分都不能被直接利用或者被渗透验证。这是一个很大的误区,这个误区就是上文的第一个误区的延伸,即当用户把代码安全审计工具作为漏洞挖掘工具时就会产生。
代码安全审计工具是以静态的方式在程序中查找所有可能存在的安全漏洞特征,这些特征表面上就是我们不安全的编码方式,或者说是不安全的编程习惯。但是这些方式是产生安全漏洞的必要条件,而不是绝对条件,也不能用渗透的方式来验证和证明。所以在我看来,代码安全审计的主要宗旨就是在编码环节,以自我审计的方式去尽量减少和消除这些不安全的编码方式和编码习惯,确保不会有安全漏洞的产生。
代码安全检测工具所倡导的“在软件开发每一个环节中来避免安全漏洞的产生”的安全开发理念。为客户在软件开发过程中查找、识别、追踪绝大部分主流编码中的技术漏洞和逻辑漏洞,帮助用户提升抵御网络攻击、防止数据泄露等安全问题的能力。
小结;代码安全审计,是一个简单又高效的软件安全保障手段,如果能够有效地在企业中展开,它会让您的软件安全建设工作事半功倍。反之,则只会让开发人员、安全人员和管理人员徒增烦恼。