第三方软件测试代码审计与静态应用安全测试（SAST）

在软件开发早期（即“左移”测试理念中），通过分析源代码来发现缺陷和漏洞是成本Zui低的方式。代码审计和静态应用安全测试（SAST，StaticApplication SecurityTesting）是实现这一目的的两类主要手段，但它们一个偏重人工思考，一个偏重自动扫描。

静态应用安全测试（SAST）是一种自动化技术。它在不运行程序代码的情况下，通过扫描源代码、字节码或二进制代码，利用设定义的规则库（如OWASPTop10常见漏洞方式）来识别潜在的安全漏洞，如SQL注入、跨站脚本攻击（XSS）、缓冲区溢出等。SAST工具可以快速集成到CI/CD（不断集成/不断部署）流水线中，在开发人员提交代码时即时给出反馈。其优势是速度快、包括规则广，但缺点是可能产生大量误报，且难以发现复杂的业务思路漏洞。

代码审计则是一个更广泛的概念，一般指人工对源代码进行审查的过程。审计人员（一般是gaoji开发人员或安全专家）会逐行阅读代码，分析程序架构、设计思路和实现细节。人工审计不仅能发现SAST工具难以捕捉的“思路漏洞”（如，用户A是不是可以越权查看用户B的隐私数据），还能考虑代码的可维护性、编码规范的遵守情况以及算法效率等问题。代码审计的深度是任何自动化工具难以比拟的，但其对审计人员的能力要求很高，且耗时较长、成本昂贵。

两者是互补而不是替代的关系。一般是：先用自动化SAST工具进行快速扫描，过滤掉大部分已知的、机械性的编码错误和漏洞；再由安全专家进行针对性的手工代码审计，重点审查重要业务思路、权限控制等复杂模块。对于涉及金融、政务等高安全要求的项目，委托像湖南卓码软件测评有限公司这样的第三方专业机构进行代码审计，是保证软件源代码方面安全可信的重要举措。