第2章 安全代码审查

安全代码审查可能是在软件开发生命周期早期阶段识别安全Bug的唯一有效方法。当安全代码审查与自动和手动的渗透测试配套使用时，安全代码审查可以显著提高应用软件的安全质量，还可以降低组织机构有关安全方面的后续成本投入。

本书没有描述执行安全代码审查的流程。相反，本书提供了如何构建和执行安全代码审查的指导，并针对特定风险或漏洞阐述了实施安全代码审查的原理和方法。

手动安全代码审查关注与不安全代码相关联的“真正风险”。在这种情况下，白盒测试是唯一有效的安全测试方法，因为安全代码审查人员可以理解代码中Bug 或漏洞的相关性。上下文信息要求人们理解被评估的东西，通过恰当的上下文信息，可以进行风险严重性评估，包括攻击的可能性和业务影响。正确的漏洞分类有助于明确修复对象的修复顺序，以避免因修复所有对象而造成的成本浪费。