应用源代码扫描

应用源代码扫描信息

应用程序源代码扫描提供了一种全自动机制,可在应用程序的源代码中识别潜在的安全漏洞。 通过识别在部署之前将数据和操作放置数据和操作的编码漏洞和设计错误,源代码扫描是全面程序的一个组成部分。

主要活动包括:

  • 自动扫描键源代码,利用用于所使用的特定语言的商用或开源扫描仪;和
  • 关于过程,差距分析,相关调查结果和缓解路线图的正式报告。如果可能的,报告还将包括;根本原因分析,同行基准,良好的练习基准,执行摘要和技术摘要。

主要的好处通过自动化代码扫描实现:

  • 它可以是识别功能和语法错误的有效方法;
  • 可用于对代码有问题的部分进行手动代码审查;
  • 可以使用发布漏洞评估,更快地识别负责特定漏洞的编码缺陷;和
  • 可用于在安全开发生命周期中执行遵守相关编码标准。

应用源代码扫描:最佳使用

  • 对于较大的应用程序,在手动码评审不实用;和
  • 作为更广泛的“认证和认证”锻炼的一部分,为关键申请提供更高水平的保证。

可下载的资源