安全代码审查

Question

对于由无法修补的遗留服务器版本承载的应用程序，定期以安全为中心的应用程序代码评审是否能够防止应用程序潜在的可利用漏洞？应用程序安全代码检查可以替换非可修补服务器吗？假设与应用程序中的敏感数据相关的代码。代码评审不能替换、修补或解决所有漏洞，但它可以减少一些由糟糕的编码实践造成的风险。如果遗留服务器不是可修补的，那么以安全为中心的代码评审是否至少可以解决一些源于糟糕的编码实践的漏洞呢？

Answer 1

No

安全代码检查是一个好主意，但它不能防止未修补的软件。例如，如果您的服务器使用Nginx，它过去可能容易受到CVE-2013-2028的攻击。存在什么应用程序代码并不重要，因为漏洞位于web服务器本身。修复此漏洞的最佳方法是修补服务器。可能还有其他方法来减轻漏洞，但修补几乎总是最好的解决方案。