代码审计是什么？安全科普

红帽社区是一个垂直网络安全社区，融合“红帽先锋”正能量精神，每日分享最新安全资讯，提供安全问答、靶场、众测、漏洞库等功能，是网络安全爱好者学习、交流的优质社区。

源代码审计是网络安全技术工作的重要内容，是网络安全工程师必备技能。那代码审计到底是什么？静态测试又是什么？两者有什么联系吗？

代码审计是什么？

代码审计就是检查源代码中的安全缺陷，检查程序源代码是否存在安全隐患，或者有编码不规范的地方，通过自动化工具或者人工审查的方式，对程序源代码逐条进行检查和分析，发现这些源代码缺陷引发的安全漏洞，并提供代码修订措施和建议。

代码审计是一种以发现程序错误，安全漏洞和违反程序规范为目标的源代码分析。软件代码审计是对编程项目中源代码的全面分析，旨在发现错误，安全漏洞或违反编程约定。它是防御性编程范例的一个组成部分，它试图在软件发布之前减少错误。

静态测试是什么？

静态测试是指不运行被测程序本身，仅通过分析或检查源程序的文法、结构、过程、接口等来检查程序的正确性，找出程序中存在的风险，例如不匹配的参数、不适当的循环嵌套和分支嵌套、不允许的递归、未使用过的变量、空指针的引用和可疑的计算等。静态测试结果可用于进一步的查错，并为测试用例选取提供指导。

静态测试包括代码检查、静态结构分析、代码质量度量等。静态测试主要由人工进行，充分发挥人的逻辑思维优势，同时借助软件工具自动进行。其中代码检查包括代码走查、桌面检查、代码审查等，主要检查代码和设计的一致性、代码对标准的遵循、可读性，代码的逻辑表达的正确性、代码结构的合理性等方面。

本文转载自CSDN，原作者：「oldboysecurity」