Аудит программного кода по требованиям безопасности представляет собой структурное тестирование ПО с целью выявления уязвимостей, появившихся на этапе реализации системы. Условием проведения аудита безопасности кода является наличие исходных текстов программ и их спецификаций.

В общем плане аудит безопасности кода является итерационным процессом, включающим мероприятия по планированию, проведению анализа, выработке рекомендаций по доработке программы и документации.

Это наиболее эффективный метод анализа безопасности ПО, т.к. он позволяет выявить большинство проблем, недостатков и уязвимостей в программах и имеет большее покрытие по сравнению с тестом на проникновение, поскольку аудитор имеет доступ не только ко всему приложению, но и к его исходному коду. В процессе безопасной разработки программного обеспечения (SDL) аудит кода является обязательной практикой на этапе реализации и выпуска ПО.

source2f-1

Аудит безопасности исходного кода позволяет:

  • определить уязвимости и недостатки безопасности в архитектуре приложения;
  • использовать уязвимые компоненты из сторонних библиотек;
  • выявить закладки, оставленные разработчиками преднамеренно и/или случайно;
  • определить соответствие кода стандартам платформы или языка программирования.

СВЯЗАТЬСЯ С НАМИ