问渗透测试与安全源代码审查

EN

独立的第三方安全源代码审查与渗透测试有何不同？

安全代码评审是一种白盒方法，代码审阅者将使用自动化工具和/或手动方法来识别给定源代码中的安全问题，而渗透测试主要是一种黑箱方法，组织只提供被测试应用程序的IP地址或名称/URL。在渗透测试中，安全分析人员通常从收集信息开始，然后识别系统中的漏洞。稍后，分析人员将攻击被测试的系统，并尝试越深入越深入，以确定更多的安全问题，并评估已识别的漏洞的影响。

独立的第三方安全源代码审查和渗透测试的限制是什么，在它们受到限制的地方它们是否相互覆盖？

这完全取决于与供应商的约定类型。大多数情况下，他们不互相掩护。我个人建议对应用程序进行渗透测试和安全代码检查。安全代码评审更多的是一种静态方法。尽管现代的安全代码评审工具提供了动态功能，例如污点分析，其中也分析了运行中的数据，但我的个人经验再次指出，安全代码检查永远无法完成渗透测试的结果，反之亦然。

独立的第三方安全源代码审查涵盖哪些领域的渗透测试没有，反之亦然？

如前所述，这两种方法都可以用来取得更好的结果。我希望我能用一个例子更好地解释它。例如，服务器端安全代码检查将包括密码管理检查。在这样的场景中，使用弱散列算法(如MD5 )散列用户的密码。此安全问题将在安全代码检查中确定，如果无法实现服务器/代码访问，则可能无法在渗透测试中识别该问题。