【Joy (公職一定上)】評論
源碼掃描: 在程式開發階段用人工或自動工具檢測,盡早找出可能產生安全威脅的程式漏洞是針對開發者的程式碼檢測,防堵可能被植入惡意程式碼的漏洞,並無法直接檢測出惡意程式碼的存在檢測類型:- input validation 輸入合法性: SQL injection, 跨站腳本攻擊等- security features 安全特徵: 密碼管理、微弱加密等- error handling 錯誤處理: 糟糕的error handling (將系統錯誤訊息直接公開顯示等)- API abuse API誤用: 沒檢查null、使用危險method等- code quality 程式碼品質: dead code, 尚未release resource等- environment parameters 環境變數: 配置錯誤等