Il codice offuscato è software scritto intenzionalmente per essere difficile da leggere, comprendere o analizzare. Può usare nomi di variabili fuorvianti, espressioni dense su una sola riga, flussi di controllo insoliti, codifica di stringhe o livelli di indirezione per nascondere ciò che il programma fa davvero. Nel lavoro di sicurezza, questo conta perché la leggibilità favorisce la fiducia: quando il codice è facile da ispezionare, i revisori possono individuare più rapidamente errori logici, gestione non sicura della memoria e funzionalità nascoste.
L'offuscamento compare sia nella difesa sia nell'attacco. Gli sviluppatori a volte offuscano software legittimo per rallentare il reverse engineering o proteggere la proprietà intellettuale, mentre gli aggressori lo usano per celare il comportamento del malware, eludere l'analisi statica e ritardare il rilevamento da parte degli analisti. I team di sicurezza rispondono con code review, analisi statica, sandboxing e reverse engineering, ma un codice fortemente offuscato aumenta il costo e il livello di competenza necessari per convalidarlo. La lezione chiave è che l'oscurità non è di per sé un controllo di sicurezza; una progettazione chiara e verificabile è di solito più sicura e più facile da difendere.