程式碼分析

• 檢查程式碼中的弱點和漏洞
• 任何水平的發展
  單元層級：程式碼審查
  功能層級
  系統層級
  整合的應用程序層級
• 靜態：
  沒有被執行
  在原始碼上：從高階語言到機器碼
  - 人類可以復習高階
  - 工具可以以任何形式查看
  關於目標程式碼
  使用原始碼分析器作為自動化工具
  - 語法
  - 核准的功能/函式庫呼叫
  - 與邏輯和呼叫相關的規則和語義
• 動態：
  在執行軟體時
  接受輸入，期望產生行為
  - 監視高平行程序的操作
  - 執行緒檢查歷程
  - 競爭條件
  - 記憶體尋址

程式碼審查（程式碼走查）

團隊成員小組工作，以生成乾淨且高度可靠的程式碼

• 程式碼質量
• 團隊了解
• 教育

建設環境

創建程式碼->編譯->鏈接->已測試->打包->分散式

• 正確的構建工具
• 具有正確的設置，配置和構建選項
• 作為安全開發生命週期的一部分
  例如：Microsoft的GS編譯器啟用cookie的堆疊溢出保護、Gradle建構強化問題
• 語言依賴性和技術債
• 安全的函式庫

IDE

整合開發環境

防篡改技術

確保程式碼是真實的並且未被篡改
程式碼簽名：
確保軟體的完整性和證據來源
無法確保沒有錯誤或缺陷

版本控制