代码审计——四款主流的源代码扫描工具简介

工欲善其事，必先利其器。

在源代码的静态安全审计中，使用自动化工具代替人工漏洞挖掘，可以显著提高审计工作的效率。学会利用自动化代码审计工具，是每一个代码审计人员必备的能力。在学习PHP源代码审计的过程中，本人搜集使用了多款自动化工具。本文将简要介绍其中三款比较实用的工具：

Fortify SCA（Static Code Analyzer）是由Fortify软件公司（已被惠普收购）开发的一款商业版源代码审计工具。它使用的数据流分析技术，跨层跨语言地分析代码的漏洞产生，目前支持所有的主流开发语言。Fortify SCA是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎：数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态分析，分析的过程中与它特有的软件安全漏洞规则进行地匹配、查找，从而将源代码中存在的安全漏洞扫描出来，并给于整理报告。

Checkmarx的CxEnterprise静态源代码安全漏洞扫描和管理方案是一款比较的、综合的源代码安全扫描和管理方案，该方案提供用户、角色和团队管理、权限管理、扫描结果管理、扫描调度和自动化管理、扫描资源管理、查询规则管理、扫描策略管理、更新管理、报表管理等多种企业环境下实施源代码安全扫描和管理功能。

VeraCode静态源代码扫描分析服务平台是商业运营好的平台，数千家 软件科技公司都在使用其服务发现软件安全漏洞、质量缺陷。

哪些公司提供代码审计服务？

代码审计服务是基于攻防态势剧烈变化，多年漏洞分析经验推出的安全服务。它背靠成熟商业产品，结合漏洞库，通过??以及代码审计?具，对WEB、APP源码进?白盒审计，安全分析，帮助客户及时发现代码中存在的安全问题并提供安全修复建议。

代码审计服务将依据安全编程规范，通过??以及代码审计?具，对WEB、APP源码从结构、脆弱性以及缺陷等方面进行审查，重复挖掘当前代码中存在的安全缺陷以及规范性缺陷，并提供安全修复建议。

严格的信息控制： 我们的代码审计服务团队成员对有着严格的信息控制手段及安全保密意识培训，保证客户敏感信息的安全性和保密性。

代码审计服务介绍

      应用系统软件自身的安全性是确保应用系统安全稳定运行的关键。但通常应用系统在开发的过程中会引入安全缺陷而造成应用系统自身存在安全漏洞，如被外部威胁所利用会产生安全风险，造成不良的安全影响。需要通过采用应用系统源代码安全审计的方式，来减少和降低开发过程中的安全缺陷和安全漏洞。

      因此，通过开展应用系统源代码审计工作，减少客户应用系统的安全漏洞和缺陷隐患，有效降低客户应用系统安全风险，保障应用系统安全稳定运行。

代码安全审计需要做什么准备工作

      在代码审计前期准备阶段，项目组将根据业务系统的实际情况定制访谈材料，采用文档审核和访谈方式对业务软件功能、架构、运行环境和编程语言等实际情况进行调研。了解业务系统的开发环境、架构、安全现状以及运行环境等可能对业务系统安全性产生影响的各种因素。同时会准备代码审计工具、务系统测试系统等环境，为代码审查工作的开展提供必要条件。