源代码安全审计

👆点击“博文视点Broadview”，获取更多书讯

看待事物，当下的总是比过去的或未来的更容易看清，表象总是比内在要分明，简单的结果总是比构成的机理和过程更容易理解。

在网络安全领域，最早展现在我们面前的是网络安全体系建设问题。

这些当下的、相对静态的、结果表象的领域，其基本方法、技术和产品完全称得上丰富多彩，围绕它们的产业也很发达。

网络安全围绕这个最初的落脚点，向更具挑战的方向发展，有宏观的方向，有对抗的方向。

而在系统生命周期这个时间坐标轴上，有了两个挑战性的方向：安全右移、安全左移。安全右移就是向时间的下游走，即安全运营（安全运行）。安全左移就是向时间的上游走，即供应链安全。

安全左移的供应链安全被认为是网络安全挑战中最具本源性的一个领域。

近年来全球影响较大的网络安全事件往往都伴随着供应链安全问题。在供应链安全方向，有与《源代码安全审计基础》一书内容密切相关的软件供应链安全领域。

网络安全圈常说的0Day漏洞，大多是软件开发过程中的Bug和错误导致的。有了SDL安全开发生命周期规范的指导，辅以二进制逆向安全检测和软件源代码审计，可以尽量杜绝软件安全漏洞。前卫而时髦的DevSecOps体系，也需要在Dev开发阶段设置代码审计环节。

代码审计在网络安全领域占有重要地位。在代码开发阶段，如果能够发现并解决更多的问题，就能够减少系统“带洞运行”的情况，避免更多的网络安全风险。

作为系统的开发者和防御者，要想与威胁者和攻击者对抗，就要充分运用自身优势——开发者和防御者拥有源代码。攻击者一般没有源代码，只能通过二进制逆向的方式寻找漏洞。所以，代码审计是防御者的优势，理当充分利用。

当然，从理论上，即使进行了代码审计，Bug和安全漏洞也难以在大型复杂软件系统中杜绝。但是，如果能在编码阶段减少漏洞，就能在建设和运行阶段少受损失，节约其他防御性投入。归根到底，就看我们是否有能力以较低的成本在编码阶段发现更多的问题、解决更多的问题。

《源代码安全审计基础》一书旨在让代码审计技术得到更广泛的应用，让更多的技术人员掌握代码审计技术。

由信息产业信息安全测评中心编写的这本书，对教材相对匮乏的代码审计人才培养工作来说是难得的及时雨。

同时，本书完全对应于NSATP培训认证体系下新开设的代码审计方向的课程，即NSATP-SCA（注册网络安全源代码审计专业人员）认证培训。

在某种程度上，本书兼具教材和认证评价规范的功能，具有很强的指导作用。

希望本书能为我国培养更多的代码审计工程师、测评师，更好地改善代码的安全性，夯实网络安全基础。

本文来自《源代码安全审计基础》一书序言，作序人潘柱廷。

快快扫码抢购吧！

发布：刘恩惠
审核：陈歆懿 

如果喜欢本文欢迎 在看丨留言丨分享至朋友圈 三连<  PAST · 往期回顾  >
我从读者变成了联合作者

点击阅读原文，查看本书详情！