Maison >Problème commun >Le contenu de l'examen de la sécurité du code du système d'application comprend
L'examen de la sécurité du code source du système d'information est le processus d'analyse de sécurité statique et d'examen du code source d'une application développée sur mesure pour identifier les défauts de codage et les vulnérabilités pouvant entraîner des problèmes de sécurité.
La revue de sécurité du code source du système d'information est réalisée par le déploiement de l'environnement de développement du système applicatif sur la machine de test et l'importation du code source du logiciel. L'équipe du projet utilise des outils pour analyser statiquement le code source au début de l'examen de sécurité. Plus tard, elle examine et analyse manuellement les résultats de l'analyse pour confirmer les risques de sécurité dans le code source et former un rapport final d'examen de sécurité du code source.
Contenu de l'examen de la sécurité du code source du système d'information (Apprentissage recommandé : Tutoriel vidéo sur le front-end Web)
Cours de validation et de présentation des entrées : cross- script de site, injection SQL, déni de service, etc.
Qualité du code : appels de pointeur nul, ressources non libérées, etc.
Classes d'appels d'API : valeurs nulles non vérifiées, valeurs de retour non détectées, etc. .
Fonctionnalités de sécurité : gestion des mots de passe, nombres aléatoires dangereux, etc.
Heure et statut : erreurs de code, sessions corrigées, etc.
Gestion des erreurs : trop de captures d'exceptions , trop d'exceptions levées, etc.
Classe d'encapsulation : fuite d'informations système, etc.
Classe d'environnement : gestion des mots de passe, etc.
Code source du système d'information processus d'examen de sécurité
Total Il est divisé en cinq étapes : acceptation de la commission, préparation, mise en œuvre, évaluation et conclusion.
Étape d'acceptation de la mission : communication préalable à la vente avec l'unité confiante sur le projet de révision du code source, signature d'un "accord de confidentialité", réception des informations soumises par l'unité testée et assistance à l'unité testée pour le remplissage le questionnaire de situation de base « Examen de la sécurité du code source du système d'information » et, si nécessaire, le service technique central fournira une consultation technique à l'unité confiante. Après la communication préliminaire, les deux parties ont signé le « Contrat d'examen de la sécurité du code source du système d'information ».
Etape de préparation : Le chef de projet organise l'élaboration du « Plan de revue de sécurité des codes sources du système d'information », communique avec l'unité confiatrice sur le contenu du plan de tests, et détermine la date précise de la source du système d'information. examen de la sécurité du code et le personnel pour coopérer avec le client Informer les clients de faire des préparatifs avant les tests.
La date précise de l'examen et le personnel coopérant du client seront notifiés au client pour préparer le test.
Étape de mise en œuvre : le chef de projet clarifie les éléments de test entrepris par le personnel de test de l'équipe de projet, déploie l'environnement de test conformément au « Questionnaire de situation de base d'examen de la sécurité du code source du système d'information » soumis par l'unité testée, et prépare l'examen de sécurité du code source Préparation. Une fois que le personnel d'inspection aura terminé l'analyse de sécurité du code source, il analysera et examinera les résultats de l'analyse du code source en fonction des résultats de l'analyse. Une fois le travail d'analyse et d'examen terminé, les membres de l'équipe de projet doivent effacer complètement les informations du code client chargées dans l'équipement de test sous la supervision du superviseur et du client.
Étape d'évaluation complète : L'équipe de projet organise les données d'examen de la sécurité du code source, prépare le « Rapport d'examen de la sécurité du code source du système d'information » et communique les résultats de l'examen avec le client.
Étape de recherche : l'équipe du projet organisera divers documents et traitera les enregistrements générés au cours du processus d'évaluation, puis les archivera et les sauvegardera automatiquement. Le personnel du service client invitera les clients à remplir le « Formulaire d'enquête de satisfaction client » pour recueillir les commentaires des clients.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!