静态源代码扫描测试

静态源代码扫描是近年被人提及较多的软件应用安全解决方案之一。它是指在软件工程中，程序员在写好源代码后，无需经过编译器编译，而直接使用一些扫描工具对其进行扫描，找出代码当中存在的一些语义缺陷、安全漏洞的解决方案。静态扫描技术已经从90年代时候的，编码规则匹配这种由编译技术拓展过来的分析技术向程序模拟全路径执行的方向发展，由此，这种模拟执行相对的执行路径比动态执行更多，能够发现很多动态测试难以发现的缺陷。

概述

信息安全是一个随时都在发展和变化的动态事物，攻击的领域已经由传统的网络和系统层面上升到了应用层面，近期越来越多的应用系统面临攻击威胁。应用系统的安全性能，一方面立足于系统安全方案的分析与设计，而另一方面同样也取决于系统实现过程中是否存在安全性缺陷。为降低应用系统的安全风险，减少软件代码编写中可能出现的安全漏洞，提高应用系统自身安全防护能力，软件的应用方越来越依赖于采用源代码安全扫描工具在软件开发的过程中去帮助软件开发团队快速查找、定位、修复和管理软件代码安全问题，应用静态源代码安全扫描的的主要价值在于能够快速、准确地查找，定位和修复软代码中存在的安全风险，增加工具投资所带来的最大效益，节约代码安全分析的成本，最终开发安全的。可靠的软件。

静态源代码扫描

这个方案的优点在于，无需进行编译、也无需去搭建运行环境，就可以对程序员所写的源代码进行扫描。可以节省大量的人力和时间成本，提高开发效率，并且能够发现很多靠人力无法发现的安全漏洞，站在黑客的角度上去审查程序员的代码，大大降低项目中的安全风险，提高软件质量。

在静态源代码扫描技术上，被普遍应用的是第一代和第二代技术。