代碼審計是什么？靜態(tài)測試是什么？

代碼審計就是檢查源代碼中的安全缺陷，檢查程序源代碼是否存在安全隱患，或者有編碼不規(guī)范的地方，通過自動化工具或者人工審查的方式，對程序源代碼逐條進行檢查和分析，發(fā)現這些源代碼缺陷引發(fā)的安全漏洞，并提供代碼修訂措施和建議。

代碼審計是一種以發(fā)現程序錯誤，安全漏洞和違反程序規(guī)范為目標的源代碼分析。軟件代碼審計是對編程項目中源代碼的全面分析，旨在發(fā)現錯誤，安全漏洞或違反編程約定。它是防御性編程范例的一個組成部分，它試圖在軟件發(fā)布之前減少錯誤。

靜態(tài)測試是指不運行被測程序本身，僅通過分析或檢查源程序的文法、結構、過程、接口等來檢查程序的正確性，找出程序中存在的風險，例如不匹配的參數、不適當的循環(huán)嵌套和分支嵌套、不允許的遞歸、未使用過的變量、空指針的引用和可疑的計算等。靜態(tài)測試結果可用于進一步的查錯，并為測試用例選取提供指導。

靜態(tài)測試包括代碼檢查、靜態(tài)結構分析、代碼質量度量等。靜態(tài)測試主要由人工進行，充分發(fā)揮人的邏輯思維優(yōu)勢，同時借助軟件工具自動進行。其中代碼檢查包括代碼走查、桌面檢查、代碼審查等，主要檢查代碼和設計的一致性、代碼對標準的遵循、可讀性，代碼的邏輯表達的正確性、代碼結構的合理性等方面。