10.2 代码评审

代码评审是全知识分析的另一个重要方面,应该始终在应用最关键的部件上进行。确定“关键”的部件通常由威胁建模活动驱动:任何具有等级在阈值之上威胁的部件都应该进行源代码评审。这同时是威胁建模推动后续安全开发工作的一个绝佳的示例。

本小节介绍如何识别Web应用中可能存在的基本代码级问题,围绕代码评审的关键方法进行组织:人工、自动和二进制分析。