9.5.1  源代码安全审核的概念

研发人员在编码的过程中可能会犯一些小错误，例如少了一个括号、多了一个空格等。通常编译器都会指出这种错误。但是由于有的程序员缺乏必要的安全编码知识，还有一些错误会比较严重，会导致源代码中可能存在可被黑客利用的安全漏洞。为解决这个问题，就必须开展源代码的安全审核工作。

由于人工审核的效率低且效果无法保证，而且要求审核人员必须对安全漏洞的知识十分了解，近年来，IT企业广泛采用静态分析工具检查源代码。这种方法审核速度快，可以频繁审核，不需要审核人员具备特别的专业知识，而且可以定期或根据最新发现的安全漏洞更新扫描规则。

另一种情况是源代码中没有安全漏洞，但由于所开发的软件使用了第三方组件，如果其安全性出现问题，仍然会导致整个软件受到破坏。在这种无法获取源代码的情况下，就只能采用二进制代码审核。二进制代码审核是通过逆向工程对程序进行逆向分析后得到代码，再根据安全编码规则对这些逆向代码进行安全审核。