系統(tǒng)源代碼安全審計(jì)報(bào)告_第1頁
系統(tǒng)源代碼安全審計(jì)報(bào)告_第2頁
系統(tǒng)源代碼安全審計(jì)報(bào)告_第3頁
系統(tǒng)源代碼安全審計(jì)報(bào)告_第4頁
免費(fèi)預(yù)覽已結(jié)束,剩余1頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、XX系統(tǒng)源代碼安全審計(jì)報(bào)告XX部門20XX年X月1. 源代碼審計(jì)概述 11.1. 審計(jì)對象 11.2. 審計(jì)目的 11.3. 審計(jì)流程 11.4. 審計(jì)組織 12. 源代碼審計(jì)范圍 13. 源代碼審計(jì)詳情 13.1. 安全風(fēng)險(xiǎn)定義 13.2. 安全缺陷統(tǒng)計(jì) 23.3. 安全缺陷示例 23.3.1. 隱私泄露 23.3.2. 跨站腳本漏洞 23.3.3. SQU1入缺陷 33.3.4. XXXMB1 34. 總結(jié) 31 .源代碼審計(jì)概述1.1. 審計(jì)對象描述本文檔適用范圍、場景等相關(guān)的背景情況,便于讀者充分了解審計(jì)對象信息。1.2. 審計(jì)目的描述開展源代碼審計(jì)工作的目的、依據(jù)、要求以及預(yù)期效果。

2、1.3. 審計(jì)流程描述源代碼代碼審計(jì)工作的流程,包括但不限于測試環(huán)境的搭建、測試方法或模式(例 如工具測試、人工檢查)、審計(jì)報(bào)告及整改方案的撰寫,并明確各項(xiàng)工作的相關(guān)職責(zé)方。1.4. 審計(jì)組織描述開展代碼審計(jì)工作組織情況,包括但不限于安全保密以及審計(jì)工作準(zhǔn)備情況。2 .源代碼審計(jì)范圍描述被審計(jì)系統(tǒng)情況,包括但不限于源代碼行數(shù)、源代碼文件大小、設(shè)計(jì)語言及組件、 開發(fā)軟件環(huán)境、系統(tǒng)架構(gòu)、編譯器、系統(tǒng)類庫、系統(tǒng)服務(wù)器及數(shù)據(jù)庫等信息。3 .源代碼審計(jì)詳情3.1. 安全風(fēng)險(xiǎn)定義源代碼安全審計(jì)是運(yùn)用工具和人工分析對源代碼進(jìn)行檢查,檢查系統(tǒng)軟件存在的安全缺 陷。根據(jù)安全缺陷可能存在的安全風(fēng)險(xiǎn)對檢查中發(fā)現(xiàn)的各

3、個(gè)缺陷給出了相對應(yīng)的風(fēng)險(xiǎn)評(píng)價(jià), 并對風(fēng)險(xiǎn)評(píng)價(jià)中涉及到的各個(gè)等級(jí)給予一定說明和界定,如風(fēng)險(xiǎn)級(jí)別高、中、低并依次描述各級(jí)別對應(yīng)威脅,示例如下:1 丁 P風(fēng)險(xiǎn)級(jí)別威脅描述1高對目標(biāo)系統(tǒng)的安全存在較大的威脅,應(yīng)該立即得到修正,防止對系統(tǒng)帶來影響,造成重大損失。如:xxxxx2中對目標(biāo)系統(tǒng)或系統(tǒng)的客戶端的安全有威脅,應(yīng)該及時(shí)得到修正,防止對系統(tǒng)帶來影響,造成不 必要的損失。如:xxxx3低對系統(tǒng)造成的損失很小或很難直接被利用,但仍 應(yīng)該得到開發(fā)人員重視,并對其加以修改,杜絕 其帶來的潛在風(fēng)險(xiǎn)。如:3.2. 安全缺陷統(tǒng)計(jì)描述本次源代碼安全審計(jì)的代碼行數(shù)、文件數(shù)量、已發(fā)現(xiàn)的安全問題總數(shù);分類簡述存 在的安全

4、問題及數(shù)量并與安全風(fēng)險(xiǎn)級(jí)別進(jìn)行對應(yīng);已圖表形式對發(fā)現(xiàn)的安全缺陷進(jìn)行統(tǒng)計(jì) , 如下所示:可執(zhí)行代碼行數(shù)(行)xxxxx檢查文件數(shù)量(個(gè))xxxxx已發(fā)現(xiàn)安全問題(個(gè))xxxx安全問題描述(個(gè))隱私泄露xxxm高/中/低跨站腳本漏洞xxxm高/中/低SQL注入xxxm高/中/低xxxxxxxxxx 個(gè)3.3. 安全缺陷示例逐條描述本次源代碼審計(jì)工作發(fā)現(xiàn)的相關(guān)漏洞信息及相關(guān)風(fēng)險(xiǎn), 并以圖例形式清晰表明 問題代碼信息及位置。3.3.1. 隱私泄露逐條描述發(fā)現(xiàn)的隱私泄露缺陷個(gè)數(shù)、缺陷分析、缺陷代碼實(shí)例及修復(fù)建議。3.3.2. 跨站腳本漏洞逐條描述發(fā)現(xiàn)的跨站腳本漏洞缺陷個(gè)數(shù)、缺陷分析、缺陷代碼實(shí)例及修復(fù)建議。3.3.3. SQL注入缺陷逐條描述發(fā)現(xiàn)的SQL注入缺陷個(gè)數(shù)、缺陷分析、缺陷代碼實(shí)例及修復(fù)建議。3.3.4. XXX缺陷逐條描述發(fā)現(xiàn)的其它缺陷

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論