​诸子云 | 项目：代码审计建设调研报告

黄小波

负责企业源代码安全建设相关工作，拥有丰富的移动安全经验。

肖文棣

晨星资讯（深圳）有限公司安全架构师，OWASP中国广东分会负责人，CISSP，AWS助理解决方案架构师和AWS认证安全专家。

陈翰杰

某车联网公司安全负责人，拥有CCSE、CASP、OSCP、CEH等资质，8年安全运营经验，4年安全团队管理经验。

李良

安信证券开发安全和数据安全管理岗，CISSP

陈炯昊

平安国际智慧城市科技股份有限公司 系统管理部 信息安全架构师，6年安全行业经验，现牵头主导平安智慧城市开发安全体系建设及落地。

吴坚锋

某集团网络安全专家

超过50%的安全漏洞是由错误的编码产生的，开发人员由于一般安全开发意识和安全开发技能不足，更加关注业务功能的实现，容易忽略安全问题，虽然一般企业都制定了安全开发红线和安全编码规范，但是我们无法确保开发人员是否有效的按照安全开发红线或者安全编码规范进行编码。一旦带有漏洞的代码上线，那么后期针对漏洞修复工作所付出的成本将极大地增加。而且漏洞一旦被攻击者利用，也会给企业造成巨大危害。

因此，我们需要一种在项目上线前，最好是开发阶段就能提前发现应用漏洞，从而解决安全问题的办法。代码审计正好能解决这个问题。代码审计是一种针对源代码的漏洞分析方法，它从安全的角度对整个项目代码进行审计，找出应用系统中可能存在的安全隐患，并给出相应的漏洞修复方案，帮助开发人员提高应用系统的安全性。（获取方式见文末）

黄小波在公司负责源代码安全建设，由于以前没有这方面的经验，所以在过程中遇到了不少问题。而在安全社群里跟他人请教经验和解决方案的时候，他发现有很多安全人也有遇到同样或类似的各种问题，所以把这些遇到的问题（或者说踩过的坑）及其解决方案记录下来，供后来者参考。

项目按照源代码安全建设的内容和常见问题划分，首先列出项目的结构并完成主体框架的编写，项目成员各自根据自己的经验和特长认领和补充相应的内容，最终由黄小波再统一进行梳理总结。 

黄小波告诉笔者，他最初希望每周能开一个视频会议，针对框架中的问题逐个讨论，后来发现项目成员都很忙碌，时间上凑不到一块。于是后来采用成员的建议，由他来完成主体框架编写，再让各个项目成员填充内容。

虽然报告已涵盖了大部分典型问题，目前仍有部分问题没有合适的解决方案，还需要持续修订，后续小组将继续总结工作经验和教训，为完善报告内容贡献自己的力量。

目前，诸子项目第一季、第二季的所有项目成果，均已上传至诸子云星球。随着第三季项目的展开，所有项目成果也将陆续上传。除此之外，知识星球中还存有大量行业前沿报告等资料。现在加入诸子云知识星球，便可提前下载，领先他人一步，纵览全局，占据竞争高地。

推荐阅读

---

诸子云 | 初秋时节，我们开了个“一大”

当甲方遇见甲方，“诸子项目”已开花结果

诸子云 | 项目：CSO知识体系及技能树

诸子云 | 项目：云数据安全控制框架

诸子云 | 项目：企业个人信息合规保护原则

诸子云 | 项目：汽车行业可信信息安全评估交换认证TISAX研究报告

诸子云 | 项目：网络安全个人认证大全

诸子云 | 项目：社会工程学TOP10

诸子云 | 项目：首席安全官 CSO 手册

诸子云 | 诸子项目第二季，北上深携十大项目给您拜年！

诸子云 | 项目：密码法合规建议指南

诸子云 | 项目：企业互联网隐形资产的保护

诸子云 | 项目：从企业组织架构看信息安全

诸子云 | 项目：POC 测试报告共享项目报告

诸子云 | 项目：安全日志分析系统建设调研分析

诸子云 | 诸子项目第三季，探索更多可能

诸子云 | 项目：个人隐私保护标准和技术解读

诸子云 | 项目：量子通信安全研讨

诸子云 | 项目：个人信息保护专项

齐心抗疫 与你同在 

点【在看】的人最好看