|
|
知识路径: > 网络安全测评技术与标准 > 网络安全测评技术与工具 > 代码安全审查(源代码、二进制代码等安全符合性检查) >
|
相关知识点:14个
|
|
|
|
代码安全审查是指按照C、Java、OWASP等安全编程规范和业务安全规范,对测评对象的源代码或二进制代码进行安全符合性检查。
|
|
|
典型的代码安全缺陷类型有缓冲区溢出、代码注入、跨站脚本、输入验证、API误用、密码管理、配置错误、危险函数等。源代码安全审查参考的标准规范主要有CERT C/C++/Java安全编码标准、MISRA C/C++、ISO/IEC TR 24772、CWE、OWASP Top 10、CWE/SANS Top 25等。常用的源代码安全检查工具有HP Fortify(商业产品)、IBM Rational AppScan Source Edition(商业产品)、Checkmarx(商业产品)、FindBugs(开源工具)、PMD(开源工具)、360代码卫士(商业产品)等。
|
|
|
|
|
|
|
|
|
|
|
|