主页 / 2019年VSRC城市沙龙广州站 / 甲方代码审计的道与术
-
标题
-
作者林伟壕@腾讯高级工程师
-
简介
目录
- 01 甲方代码审计特点
- 02 甲方代码审计流程
- 03 甲方代码审计方法论
- 04代码审计的“利器”
- 05 2个cases
漏洞攻防从来都是不对等的,这句话曾被用来形容防守方防守的是整个面,而攻击方只需要突破单个点即可侵入。代码审计也可以从代码实现逻辑上为漏洞修复提出更有针对性、可行性的方案,甚至可以在此基础上演化出安全开发组件、框架。
甲方代码审计与白帽子代码审计是截然不同的,腾讯高级工程师林伟壕给我们介绍了整个审计流程。在代码审计中常常遇到很多痛点,比如说代码逻辑架构复杂,工具不适用,安全审计人员心态问题等等。
通过这些痛点,演讲者结合了自己的实际经验,从自动手动结合、黑白盒结合、正反向跟踪、动静结合、过往与当下结合、checklist与安全编码规范结合、通读与走读结合等7种方法入手,介绍如何更好开展代码审计。
演讲者给大家推荐了在代码审计中常用的审计工具,最后也通过实例,总结了自己丰富的审计经验之谈。
-
援引https://mp.weixin.qq.com/s/glOGP3jEHuUfPrdP9URh4w
-
提示本站仅做资料的整理和索引,转载引用请注明出处
相关推荐
-
2018-05-21 11:10:59 -
2016-06-17 14:27:24 -
2017-03-14 05:01:33 -
2016-11-22 13:00:28
附件下载
-
3.甲方代码审计的道与术.林伟壕.pdf