随着应用软件的发展，功能越来越强，随之而来的程序代码规模也越来越大.在这种情况下，软件本身可以被利用的安全漏洞以及代码的后门也不再像以往仅限于代码调试或功能检测以及跟踪，这就使利用传统软件测试的方法来检测程序源代码中有无存在安全漏洞非常困难。从源代码层面进行审计的角度，对源代码进行有效的检查与分析，从而从根本上保护了软件和信息系统以及信息的安全，也杜绝了潜在的漏洞安全威胁。

第九届中国国际软件质量工程（iSQE）峰会将特邀孙虎先生分享“代码安全审计在信息化安全体系中的作用”。提出新的代码安全审计实施思想，在执行代码审计的过程中首先需要知道，要对什么进行审计，审计的标准是什么，采用什么方法来开展审计工作以及审计之后如何进行处理等各种问题。在这期间，遵循安全开发生命周期（SDLC）理论，厘定何为安全开发，安全开发的重点等工作内容。

审计工作的进行有人工审计和自动化审计，人工的代码安全审计速度慢，质量无法保证，在此基础上，引入不同的自动化代码审计工具，针对不同代码审计工具进行侧重点和优劣点的分析，为大家拨开层层迷雾，寻找适合自己的审计工具或工具组合。

审计工作进行的细越好，但是审计工作也不是事无巨细的一概审之或者一概补之。此次演讲中孙虎先生将为大家列出日常进行的代码审计中经常遇到的问题：审计工作完成后，我们需要从审计结果中要总结出什么？修复应该如何操作？或者说我们的开发管理工作流程需要做如何整改？哪些地方整改能够有效提高我们的产品质量？而以上这一切，均有待于我们的不懈努力去发现总结，去纠正完善。

孙虎

孙虎先生，有着20年的软件项目开发、测试、管理经验，其中从事多年代码安全审计工作的咨询与实施以及诸多软件开发企业的过程改进的咨询工作，曾参与了多家国企（如某航空公司）、金融机构（某股份制银行）以及政府办公窗口单位的代码安全审计实施工作。