近日一朋友的公司想找人开发一个适合自己公司的期货交易系统,但怕人家在程序里面置入一些后门的代码(怕人家窃取公司的机密文件、账号、资金等),所以想程序投入使用前请一个团队来进行代码审查,看是系统中是否会含有此类的代码。
代码审查,code review,我查了一下有关code review的资料,主要工作大概包括如下:
1:检查开发人员编码是否规范。
2:检查特定开发人员所做模块是否是否影响其他的模块。
3:特别是软件升级时,检查修改或添加的代码是否会影响其他部分。
所有资料和案例都没有提到代码审查中是如何审查后门代码的,有关如何审查程序中存在后门代码,大家有没有什么想法,有现行的审查软件吗?还是只能人工审查?
另:此期货交易系统是采用C++语言,在VS2010环境中开发的。
附之前代码审查讨论贴:http://topic.csdn.net/t/20030410/19/1644924
------解决方案--------------------------------------------------------
要人工来审查吧,看代码是否访问无关的资源(如:端口等),看系统外部接口是否正常。