一、介绍

  代码审计是一种系统性检查软件源代码的过程，通过人工审查、自动化工具分析或两者结合的方式，识别代码中存在的安全漏洞、逻辑缺陷、合规性问题、性能瓶颈及编码规范不符等问题。

  其核心目标是从源头把控软件质量与安全性，审计范围覆盖编程语言语法、业务逻辑实现、数据处理流程、第三方组件依赖等多个层面。代码审计在开发阶段（如代码提交后、版本发布前）执行，也可针对已上线系统的源代码进行追溯性审查。

二、用途

1、识别安全漏洞，防范潜在攻击

  代码审计是发现“深层安全隐患”的关键手段，能精准定位常规测试难以察觉的漏洞。

2、确保合规性，满足行业规范与法规要求

  对于涉及敏感数据或受强监管的行业，代码审计是满足合规要求的必要环节。

3、评估第三方组件风险，减少供应链威胁

  现代软件常依赖大量开源库或第三方组件，代码审计会检查这些依赖的安全性：如识别已废弃、存在已知漏洞的组件、排查恶意组件、防范“供应链攻击”。