软件开发行业安全部安全工程师代码漏洞扫描手册.docxVIP

软件开发行业安全部安全工程师代码漏洞扫描手册

第1章软件开发生命周期（SDLC）中的代码漏洞扫描基础

1.1扫描前的环境准备与合规性检查

在启动任何扫描任务之前，必须首先明确扫描的目标范围，即确定要检查的文件路径、构建脚本以及特定的依赖库版本，确保扫描边界清晰，避免遗漏关键代码区。所有扫描工具必须运行在隔离的测试环境中进行，严禁在生产环境直接执行，因为生产环境代码可能包含敏感信息（如密钥、用户数据），直接扫描会导致数据泄露风险。

检查扫描环境的网络连通性，确保扫描服务器与目标代码仓库（如GitLab,GitHub,Jira）之间的网络延迟在可接受范围内，通常建议延迟低于50ms，以保证扫描结果的实时性。确认扫描工具已安装所需的依赖插件，例如对于基于Java的代码，必须安装OWASPDependency-Check或Checkmarx等插件，以获取完整的依赖项分析能力。验证扫描工具的权限配置，确保扫描程序拥有读取目标代码文件的权限，同时禁止其访问操作系统文件、数据库或敏感配置文件，防止工具被恶意利用窃取内部数据。

在开始正式扫描前，先进行一次“静默模式”或“空扫描”，以验证工具本身的基准性能，确认扫描队列在处理大文件时的吞吐量和响应时间是否达标。

1.2扫描策略的制定与执行规范

制定分层扫描策略，将代码库划分为“核心业务代码”、“第三方依