代码安全审计规范 环境安全缺陷审计列表

声明

本文是学习GB-T 39412-2020 信息安全技术 代码安全审计规范. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

代码安全审计规范 环境安全缺陷审计列表

遗留调试代码

审计指标：代码中不应遗留调试代码。

审计人员应检查部署到应用环境的代码是否含有调试或测试功能的代码，该部分代码是否会造成意外的后门入口。

第三方软件安全可靠

审计指标：应对第三方代码来源情况进行审计，确保引入的第三方软件安全可靠。

审计人员应检查引入的第三方代码来源是否安全可靠，避免不安全的第三方软件引入安全风险。

保护重要配置信息

审计指标：宜对重要的配置信息进行安全保护

审计人员宜检查代码中使用的重要配置信息是否进行了安全保护，因对重要配置信息保护不当，可能带来信息泄漏安全风险。

代码安全审计报告

概述

本附录给出了第5章代码安全审计过程中的审计报告的内容介绍。

报告内容

代码审计报告至少应报告以下内容：

审计总体信息

• 审计日期
• 审计团队成员信息
• 审计依据
• 审计原则
• 代码的信息应包括但不限于：
• 代码功能描述
• 被审计代码的版本号
• 代码语言类型
• 代码总行数等

审计流程与内容

• 审计流程
• 审计方法
• 审计内容

发现的安全缺陷汇总

• 该版本代码发现的异常情况汇总
• 可能造成的重大后果

发现的安全缺陷分析

• 高风险安全缺陷分析
• 中风险安全缺陷分析
• 低风险安全缺陷分析

审计总结

• 审计结果汇总：
• 多少条审计条款符合
• 多少条审计条款不符合
• 多少条审计条款不适用
• 不符合的审计条款原因
• 残余缺陷分析
• 安全缺陷改进建议

延伸阅读

更多内容 可以 GB-T 39412-2020 信息安全技术 代码安全审计规范. 进一步学习

联系我们

DB4408-T 8-2021 地理标志产品 湛江剑麻纤维 湛江市.pdf