自动化代码分析可能远比人工分析高效,但是现代的工具却还很不全面,而且从来无法像评审人员那么精确。但是,有一些好的工具可用,而且在发行之前所发现的每一个简单的输入校验问题和运行后发现比起来,都有金子般的价值。表10-1列出了改进代码安全性的一些工具。
警告 这些工具不应该作为人工代码评审和安全编程实践的替代品。这些工具也可能有很高的假警报率,需要许多调整才能产生有意义的结果。