逆向回溯的审计方式针对特征明显的安全漏洞挖掘是非常有效的，但是同样会有很多弊端，通过逆向回溯的方式只能对通用漏洞进行快速审计，不能全面挖掘更有价值的漏洞，如果在时间允许的情况下，企业中安全运营对自身产品进行代码审计，就需要了解整个应用的业务逻辑，比如越权类漏洞，需要了解应用中权限划分，每一级别用户的功能，这样才能很好的发现并确定哪些操作是非法的。业务类型的正向审计通常从前端页面开始，因为页面会有系统中大部分功能展示，找出功能所对应的URL就是我们所审计数据流的输入点，某系统修改个人资料处存在平行

逆向回溯的审计方式针对特征明显的安全漏洞挖掘是非常有效的，但是同样会有很多弊端，通过逆向回溯的方式只能对通用漏洞进行快速审计，不能全面挖掘更有价值的漏洞，如果在时间允许的情况下，企业中安全运营对自身产品进行代码审计，就需要了解整个应用的业务逻辑，比如越权类漏洞，需要了解应用中权限划分，每一级别用户的功能，这样才能很好的发现并确定哪些操作是非法的。 业务类型的正向审计通常从前端页面开始，因为页面会有系统中大部分功能展示，找出功能所对应的URL就是我们所审计数据流的输入点，某系统修改个人资料处存在平

目前，代码审计已经成为网络安全建设中举足轻重的环节，基于自动化源代码检测的代码审计系统已经得到了广泛的应用，但仍存在诸多缺点。总结了当前代码审计系统的不足之处，简述了不同静态源代码检测算法的原理，并分析检测报告中出现误报的原因，提出了相应的优化思路，描述了优化方案的技术原理及其应用场景。