软件安全是网络安全的基础防线,而软件的底层由大量代码组成。随着软件规模的增加,开发成本也在呈指数上升。这其中一个重要的原因是修正缺陷,倘若缺陷都能被快速发现并修正,成本上升的形态就基本能保持线性。
及时发现并解决新的代码缺陷要比解决历史遗留代码缺陷要容易。尤其在写好代码的时间不长的情况下,找出缺陷往往比较快,甚至只要看到错误提示就能发现问题出在哪里。然而如果要解决6个月前写好的代码,对程序员来说就比较麻烦,因为那时很可能对代码已经不熟悉了,采用的解决方式不但可能存在风险,甚至还有可能引入更多代码缺陷。
随着安全左移,现在部分安全测试会从源代码开始。相较于在软件开发后期才进行测试,早期的测试更有助于快速解决安全问题。
静态代码安全测试工具是一款可以在不执行代码的情况下,检测所有的代码级别可执行路径组合,直接面向源码分析语义缺陷及安全漏洞。这样就可以在研发阶段早期发现并修复缺陷和安全漏洞,节省大量时间和成本。WuKong静态代码安全测试工具就是这类产品。
