攻击者在成功利用了漏洞后，因跨站脚本攻击和SQL注入攻击而造成的安全事件已经不再是什么新鲜事儿了。为了防止此类攻击的发生，安全团队是否还抱着准备“亡羊补牢”的心态?

高效的安全项目和团队不仅应当提供反应性的措施，而且还要积极地与内部的信息团队协作，构建“先发制人”的软件安全。信息系统和软件代码的有效安全项目往往依靠两种自动的安全测试：静态安全扫描测试和动态安全扫描测试。

静态扫描一般在代码的开发期间进行。此过程借助威胁建模和分析，对静态代码进行扫描，从而发现安全漏洞。动态扫描是对工作环境中的实际代码进行的扫描，它在代码运行期间查找漏洞。还有第三类测试，即人工渗透测试，它主要通过白帽分析进行人为干预。真正有效的应用程序安全项目利用所有的安全扫描测试，其中静态安全和动态安全扫描要深入到应用程序的开发过程中，并在必要时使用人工渗透测试。

有效的自动代码扫描策略必须与IT的开发团队无缝对接。真正有效的自动安全项目的关键成功因素是，要求IT开发团队付出的额外工作达到最少。在应用程序的开发周期之外的代码扫描会占用开发时间，会被认为是额外的不受欢迎的任务。

企业在成功利用安全代码扫描项目时，面临的主要障碍是：

人工扫描

要求通过API或通过Web入口人工上传代码的代码扫描，都要求额外的开发时间和工作。有时，还要求专门的编译指令，而且为使扫描运行，还需要特定的软件版本。

人工过程

开发周期之外的代码扫描需要建立一个扫描的时间表和再次扫描的持续时间。企业需要专用资源来管理项目，设置提醒，并按照规定日期完成扫描。

代码范围

谁都无法测试不知道的东西。开发周期之外的测试要求开发者上传代码，而且它依赖开发者上传正确的代码进行静态的代码扫描。要验证所有的库和代码都能够正确上传对于维持程序安全性的团队来说是几乎不可能的任务。

(责任编辑：)