软件安全测试的方法主要分为两大类：一类是对代码和依赖进行静态分析，另一类是对运行中的软件进行动态攻击模拟。最有效的安全方法，一般是结合多种方法，包括从开发到上线的全过程。

主流的方法主要有以下七种：

静态应用安全测试 (SAST)

通过扫描源代码、字节码或二进制文件，查找潜在的编码缺陷。

适用：开发编码阶段。

需要源码吗？：需要。

优点：能在开发早期发现漏洞，修复成本最低，能准确定位到具体代码行。

缺点：可能产生较多误报，无法发现运行时环境相关的配置问题。

参考工具：SonarQube、Checkmarx、Fortify。

动态应用安全测试 (DAST)

原理：模拟外部攻击者行为，向运行中的应用发送恶意请求，通过分析响应发现漏洞。

适用阶段：测试阶段及上线前。

需要源码吗？：不需要。

优点：不依赖源码，能发现运行时配置和认证等SAST遗漏的问题。

缺点：扫描速度较慢，无法精确定位到具体代码行。

参考工具：OWASP ZAP、Burp Suite、Acunetix。

交互式应用安全测试 (IAST)

结合了SAST和DAST的优点，通过在测试环境中植入Agent，实时分析代码执行和数据流。

适用：集成测试阶段。

需要源码吗？：一般需要。

优点：准确性高，误报率低，能提供漏洞在代码中的具体位置。

缺点：可能对应用性能产生一定影响，一般仅用于测试环境。

参考工具：Contrast Security、Seeker。

软件成分分析 (SCA)

扫描项目依赖的第三方库和开源组件，识别其中已知的漏洞（如Log4j）和许可证合规性问题。

适用：创建阶段和发布前。

需要源码吗？：需要（扫描依赖文件）。

优点：能快速发现开源组件中的“定时炸弹”，并生成软件物料清单，便于管理。

缺点：依赖漏洞数据库的更新速度，可能存在漏报。

参考工具：Snyk、OWASP Dependency-Check、Black Duck。

模糊测试

向程序输入大量随机或半随机的“畸形”数据，以观察其是不是会出现崩溃、断言失败等异常，发现潜在的边界条件和输入处理漏洞。

适用：高安全等级模块的测试阶段。

需要源码吗？：不一定。

优点：自动化程度高，能发现许多人工测试难以想到的边界情况，尤其适合处理协议、文件格式的分析。

缺点：测试用例生成质量难以保证，可能无法有效包括所有代码途径。

参考工具：AFL (American Fuzzy Lop)、libFuzzer。

渗透测试 

由安全专家模拟真实黑客，在授权范围内，尝试利用一切技术手段突破系统防御，考虑整体安全性。

适用：发布前或系统上线后。

需要源码吗？：不一定（黑盒测试可能不需要）。

优点：能发现自动化工具难以挖掘的思路漏洞和组合攻击途径，结果最接近真实攻击。

缺点：高度依赖测试人员的个人能力，成本较高，测试周期相对较长。

参考工具：Metasploit、Kali Linux、Cobalt Strike。

运行时应用自我保护

这项技术和传统的测试有所不同，更像一个内置在应用中的安全保镖，能在应用运行时实时监测并拦截恶意攻击流量。

适用阶段：生产运行阶段。

需要源码吗？：需要（以Agent形式嵌入应用）。

优点：有实时攻击防御能力，能有效阻断0day漏洞的利用。

缺点：可能会对生产环境的性能造成一定影响。

参考工具：Contrast Assess、Imperva、Prevoty。

这些方法怎样组成安全矩阵？

这些方法各有不同，将它们组合起来，就能形成一个从代码到运行，从开发到生产的全方面安全防护网。

源码审计/代码审计：一般指人工或结合工具对源代码进行深度检查，是SAST的一种高级形式。它和漏洞扫描、渗透测试一同组成了静态防御 + 自动化排查 + 实战证实的安全流程。

安全众测 ：这是一种利用外部白帽黑客社区力量的测试方式，通过悬赏激励全球的安全研究人员发现并报告漏洞，能提供更多元的攻击视角。