2.源代碼審核工具

目前已經(jīng)有很多源代碼審核工具可供軟件開發(fā)團(tuán)隊(duì)使用，這些工具分為開源工具和商業(yè)工具兩類，開源工具中比較有名的包括：BOON、Cqual、Xg++和FindBugs等，商業(yè)工具中影響力較大的包括Fortify、Coverity、Ounce Labs和SecureSoftware等。

優(yōu)秀的源代碼審核工具應(yīng)該具有如下一些特點(diǎn)：

1)安全性

源代碼審核工具應(yīng)當(dāng)以審核源代碼的安全性為主要功能，而不是檢查源代碼的功臺(tái)旨是否完整、是否執(zhí)行正確；

2)多平臺(tái)性

源代碼審核工具應(yīng)考慮支持支持多種編程語(yǔ)言平臺(tái)，支持不同的操作系統(tǒng)平臺(tái)，以便適應(yīng)現(xiàn)代大型軟件的代碼審核需要。

3)可擴(kuò)展性

安全威脅和安全漏洞總是層出不窮，新的安全規(guī)則和知識(shí)庫(kù)也隨著不斷增加，源代碼審核工具應(yīng)能支持知識(shí)庫(kù)升級(jí)，支持添加新的安全分析技術(shù)。

4)知識(shí)性

源代碼審核工具能為分析人員和程序員指出編碼中的安全缺陷，也應(yīng)同時(shí)能告訴編碼人員正確的安全編碼方式，即提供知識(shí)的教學(xué)和傳遞。

5)集成性

源代碼審核工具應(yīng)考慮和編程集成開發(fā)環(huán)境整合，或支持make、ant等編譯命令，便于程序員能在編碼編譯時(shí)隨時(shí)發(fā)現(xiàn)代碼中存在的安全性問題。