代碼安全審計如何操作

1. 確定審計策略，審計策略主要考慮的是代碼開發語言、架構、安全審計質量準則或出口準則、檢測效率等；安全審計質量準則/出口準則需要考慮檢測工具是否能夠滿足對檢測質量要求，也就是對于檢測項的覆蓋，同時工具應該具有彈性擴展。

2. 部署環境，主要考慮代碼審計工具能夠適合公司所有的物理環境，包括網絡、服務器、工具兼容性等；

3. 工具掃描，主要考慮代碼工具的技術指標，例如工具支持的開發語言、檢測精度、效率，是否支持迭檢測、CI模式下檢測等；

4. 人工復核，主要考慮人工復核的工作量，檢測結果是否容易復核。這就要求檢測工具精度高、結果容易檢查、誤報少；

5. 審計結果和報告，主要考慮的是根據需要是否能夠自動產生審計結果、審計報告，報告能夠根據需要求孽緣定制；檢測結果和報告，中文顯示，便于閱讀。檢測過程能夠跟蹤，回溯。

6. 出口準則，能夠根據代碼審計需要制定審計范圍、選擇審計安全漏洞的嚴重程度級別。檢測完成，能夠判斷是否滿足選擇的出口準則，便于快速決策。

7. 開發修復，主要考慮檢測結果是否便于開發人員修復、安全漏洞能夠快速定位、提示信息準確、甚至能夠自動進行修復或給出修復檢查代碼。檢測精度高，誤報少，漏報少，這就要求檢測工具比較成熟，且得到國際公認組織的認證、認可，符合國際、國內主流標準。同時，對于開發團隊確認和修復代碼可以提供培訓和支持。

回答所涉及的環境：聯想天逸510S、Windows 10。