代码审计-企业级Web代码安全架构-247页。全方位介绍代码审计，从审计环境到审计思路、工具的使用以及功能的安全设计原则，涵盖大量的工具和方法。

第三代MISRA C规范，汽车工业软件可靠性联会 软件规范 第三版(The Motor Industry Software Reliability Association)

商业级Fortify白盒审计神器，是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎：数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析，分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找，从而将源代码中存在的安全漏洞扫描出来，并给予整理报告。

seay源代码审计系统。该软件功能强大，提供了一键自动审计，函数查询，代码高亮编辑器，自定义审计规则，代码调试等强大功能。

Seay PHP代码审计工具支持单个关键字扫描、批量函数扫描、批量正则匹配，其中正则表达式扫描精确度最高，效率最高。 Seay PHP代码审计工具功能： 源码浏览：载入程序源码后，可以在最左边的程序文件列表里面点击浏览源码，扫描出包含关键字的源码，也可以在下边的列表点击直接浏览。代码可以直接复制，或者选择用记事本打开。 漏洞库：每次做代码审计可以在漏洞库建立一个审计文档，方便以后查阅、管理。 扫描配置：自定义扫描函数和正则表达式规则，针对要扫描的程序可以建立不同的规则，其中正则表达式扫描精确度更高。 审计技巧：收集了一下PHP代码审计的资料，提供给新手学习。 程序帮助：一些程序信息和作者信息 Seay PHP代码审计工具 v2.1更新内容： 优化源码读取速度，改用线程池，大大优化扫描速度，增加一些类似写字板的功能。可直接在本工具上编辑代码，打开、保存文件。

讲师结合自身的学习经验，设计了适合代码审计入门指导的课程《PHP代码审计实战》。在本课程中，第一二章系统的讲解代码审计入门的一些基础知识：代码审计环境的准备、代码审计的一般步骤、INI文件的安全配置、一些常见的危险函数、常用Web的漏洞类型、掌握相关审计工具的使用。第三章着重实战演示常用Web漏洞类型的代码审计过程。网盘文件，永久连接

Risp是一款开源的代码审计工具，可以帮助快速对Web进行漏洞挖掘以及代码挖掘效率对目标网站进行白盒测试，减轻人工审计的负担，但是开源版本在2013年就已经停止更新，所以本次分享的0.55版本，将压缩包解压后放到Web容器中即可使用，现在分享出来，希望对大家能有所帮助!

Seay源代码审计系统

Audit-Learning：记录自己对《代码审计》的理解和总结，对危险函数的深入分析以及在p牛的博客和代码审计圈的收获

仅拿出几个洞作为例子进行入坑的讲解， 主要是使用 rips 进行辅助审计， 本文是针对小白入坑作为抛砖引玉， 理论的还未进行详细总结， 本来想在最后加上盾灵系统的审计过程。但是觉得 CMS， 不适合刚入门的同学先删掉了，还有些工具未进行介绍， 后续有机会再继续。