>일반적인 문제 >응용 시스템 코드 보안 검토 내용에는 다음이 포함됩니다.

응용 시스템 코드 보안 검토 내용에는 다음이 포함됩니다.

(*-*)浩
(*-*)浩원래의
2019-10-25 10:45:305311검색

정보 시스템 소스 코드 보안 검토는 보안 문제로 이어질 수 있는 코딩 결함과 취약점을 식별하기 위해 맞춤형으로 개발된 애플리케이션 소스 코드를 정적 보안 스캐닝하고 검토하는 프로세스입니다.

응용 시스템 코드 보안 검토 내용에는 다음이 포함됩니다.

정보 시스템 소스 코드 보안 검토는 응용 시스템 개발 환경을 테스트 머신에 배포하고 소프트웨어 소스 코드를 가져오는 방식으로 수행됩니다. 프로젝트 팀은 보안 검토 초기 단계에서 도구를 사용하여 소스 코드를 정적으로 스캔합니다. 이후 스캔 결과를 수동으로 검토 및 분석하여 소스 코드의 보안 위험을 확인하고 최종 소스 코드 보안 검토 보고서를 작성합니다.

정보 시스템 소스 코드 보안 검토 콘텐츠 (추천 학습: 웹 프론트엔드 동영상 튜토리얼)

입력 검증 및 프리젠테이션 수업: 크로스 사이트 스크립팅, SQL 삽입, 서비스 거부 등

코드 품질 : null 포인터 호출, 해제되지 않은 리소스 등

API 호출 클래스: null 값이 확인되지 않음, 반환 값이 감지되지 않음 등

보안 기능: 비밀번호 관리, 안전하지 않은 난수 등

시간 및 상태: 코드 오류, 고정 세션 등

오류 처리: 예외 캡처가 너무 많음, 예외가 너무 많이 발생 등

Encapsulation 클래스: 시스템 정보 유출 등

환경 클래스: 비밀번호 관리 등

정보 시스템 소스 코드 보안 검토 프로세스

는 위탁 수락 및 준비, 구현, 평가 및 결론의 5단계로 구분됩니다.

위탁 수락 단계: 소스 코드 검토 프로젝트에 대해 위탁 단위와의 사전 판매 통신, "기밀 유지 계약" 서명, 테스트 대상 단위가 제출한 정보 수신 및 테스트 대상 단위의 "정보 시스템 작성 지원" 소스 코드 보안 검토 기본 상황 설문지' 》에서 필요한 경우 중앙 기술 부서에서 위탁 기관에 기술 자문을 제공합니다. 사전 의사소통을 마친 후 양측은 '정보시스템 소스코드 보안 검토 계약'을 체결했다.

준비 단계: 프로젝트 관리자는 "정보 시스템 소스 코드 보안 검토 계획" 준비를 조직하고 테스트 계획 내용에 대해 위탁 단위와 통신하며 정보 시스템 소스 코드 보안 검토의 구체적인 날짜를 결정하고 직원은 고객과 협력하고 고객에게 테스트 전 준비를 잘 하도록 알려줍니다.

구체적인 검토 날짜와 고객의 협력 담당자를 지정하고 테스트 전 준비를 고객에게 알립니다.

구현 단계: 프로젝트 관리자는 프로젝트 팀의 테스트 인력이 수행하는 테스트 항목을 명확히 하고, 테스트 대상 단위에서 제출한 "정보 시스템 소스 코드 보안 검토 기본 상황 설문지"에 따라 테스트 환경을 배포하고 소스를 준비합니다. 코드 보안 검토. 검사 담당자는 소스 코드 보안 스캔을 완료한 후 스캔 결과를 바탕으로 소스 코드 스캔 결과를 분석하고 검토합니다. 분석 및 검토 작업이 완료된 후 프로젝트 팀원은 감독자와 고객의 감독하에 테스트 장비에 로드된 고객 코드 정보를 완전히 지워야 합니다.

종합 평가 단계: 프로젝트 팀은 소스 코드 보안 검토 데이터를 정리하고 "정보 시스템 소스 코드 보안 검토 보고서"를 준비하며 검토 결과를 고객에게 전달합니다.

종료 단계: 프로젝트 팀은 평가 과정에서 생성된 각종 문서와 프로세스 기록을 정리하고 자동으로 보관 및 저장합니다. 고객 서비스 직원은 고객 피드백을 수집하기 위해 "고객 만족도 조사 양식"을 작성하도록 고객을 초대합니다.

위 내용은 응용 시스템 코드 보안 검토 내용에는 다음이 포함됩니다.의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.