网站代码安全审计应当由技术专业的工作人员来干有关编码安全审计工作究竟应当谁来承担

，我以前曾写过一篇文章《“让开发者爱上安全测试”系列3之软件安全测试谁负责》大伙儿能够

参考。

 

 

代码安全审计工作我认为不可以只是交到“技术专业的工作人员”来干，这也是一个错误观念。

这一错误观念主要是存有于技术人员对软件安全开发设计核心理念上的错误观念。代码安全审

计是软件安全开发设计在其中的一个阶段，编码安全审计假如要想有非常好的实际效果，就一

定要开发者从开发设计观念上和编号习惯性上有一定的更改。假如仅仅把编码安全审计交给安

全测试工程师，乃至是业务外包的安全检测团队来干得话，实际效果一定是不太好的。

 

 

 

管理人员通常会遭受“专业的事由专业的人干”观念的危害，把代码的安全审计工作只交到安全工

作人员来做，乃至以服务项目的方法业务外包给安全服务项目团体，那样就确实仅仅编码安全

审计了。编码安全审计=编码安全检测+编码安全开发设计，把安全编号“最技术专业”的开发者

给清除出外，把安全漏洞审计和安全开发设计孤立无援起来了，那样做的实际效果为什么会好

?因此，SINE安全以找bug产品为基本，明确提出了“让开发者迷上安全检测”的检测核心理念，

就是说期待在这里一点上能给让众多的客户防止这种核心理念上的难题。这样的话就可以在公

司里组建一个安全审计团队，并给与全方面的安全综合知识学习培训，促使安全漏洞审计和安

全开发设计可以合理地融合起來，变成一个高效率、互通的总体，让编码安全审计真实流利起

來。

 

 

错误观念四、编码安全审计越全方面越好
 

 

当编码安全审计工作在公司中实行的情况下，技术人员或是安全承担工作人员又会受“从编码

方面避免一切安全漏洞的造成”那样的理想主义者的危害，而采用较“左”的观念。期待开发者将

所有的不安全编号特点所有处理掉，那样又深陷了一个错误观念。编码安全审计并不是越全方

面越好，只是要追求完美开发设计与安全的均衡。由于编码安全审计会给开发者产生综合知识

上的挑戰和一定的劳动量。开发者假如一开始就遭受过多安全漏洞特点和安全编号的管束时，

很可能青春期叛逆，不与相互配合，乃至以“各种各样原因”不变，那样就没办法开展工作。即

便在“强制方式”下迫不得已相互配合，也会在改动时万般随机应变，能逃则避。

 

 

编码安全审计恰当的方法应是公司以本身特性为基本，订制出一套安全工作人员和开发者都可

以接纳的“编码安全审计规范”，在公司中井然有序进行有关工作中，并在中后期不断填补和健

全这一规范，使之变成一个既能顺从安全发展趋势的持续发展趋势，又能合适开发者的安全审

计规范。那样编码安全审计工作才可以在公司中顺利地进行。编码安全审计，是一个简易又高

效率的软件安全确保方式，假如可以合理地在公司中进行，它会让您的软件安全基本建设工作

中事倍功半。相反，则总是让开发者、安全工作人员和技术人员徒增烦恼，如果不想公司内组

建代码安全审计团队的话可以找专业的网站安全公司来处理解决即可，国内比较专业的公司如

sinesafe,鹰盾安全，绿盟，网石科技等等都是比较有名的网站安全公司。