SAST的原始代码或编译代码更好

Question

从安全代码审查(SAST)的角度来看，我需要通过自动化工具扫描哪些代码？原始代码还是编译代码？

Answer 1

我要说的是，这取决于你想找到什么。分析编译代码有机会找到生成的代码片段，并对它们进行分析。这也可能容易一点，因为编译后的代码在语法上必须是正确的。要执行数据流分析，该工具实际上需要首先编译代码本身。我最喜欢的免费代码扫描工具(查找安全错误和OWASP依赖检查)处理二进制文件。

另一方面，您可以在源代码中使用grep和regex。您可以看到所有的FIXME和TODO注释以及可能从二进制文件中优化的变量。我的一位同事基于一组正则表达式编写了一个用于查找安全错误的工具，他对自己的工作感到非常自豪。源代码分析也不会受到二进制文件混淆的影响。