2.源代碼審核工具

目前已經有很多源代碼審核工具可供軟件開發團隊使用，這些工具分為開源工具和商業工具兩類，開源工具中比較有名的包括：BOON、Cqual、Xg++和FindBugs等，商業工具中影響力較大的包括Fortify、Coverity、Ounce Labs和SecureSoftware等。

優秀的源代碼審核工具應該具有如下一些特點：

1)安全性

源代碼審核工具應當以審核源代碼的安全性為主要功能，而不是檢查源代碼的功臺旨是否完整、是否執行正確；

2)多平臺性

源代碼審核工具應考慮支持支持多種編程語言平臺，支持不同的操作系統平臺，以便適應現代大型軟件的代碼審核需要。

3)可擴展性

安全威脅和安全漏洞總是層出不窮，新的安全規則和知識庫也隨著不斷增加，源代碼審核工具應能支持知識庫升級，支持添加新的安全分析技術。

4)知識性

源代碼審核工具能為分析人員和程序員指出編碼中的安全缺陷，也應同時能告訴編碼人員正確的安全編碼方式，即提供知識的教學和傳遞。

5)集成性

源代碼審核工具應考慮和編程集成開發環境整合，或支持make、ant等編譯命令，便于程序員能在編碼編譯時隨時發現代碼中存在的安全性問題。