情報システムのソース コードのセキュリティ レビューは、カスタム開発されたアプリケーションのソース コードを静的にスキャンしてレビューし、セキュリティの問題につながる可能性のあるコーディングの欠陥や脆弱性を特定するプロセスです。
# 情報システムのソースコードのセキュリティ審査は、アプリケーションシステムの開発環境をテストマシンに展開し、ソフトウェアのソースコードをインポートすることで実施されます。プロジェクト チームは、セキュリティ レビューの初期段階でツールを使用してソース コードを静的にスキャンし、その後、スキャン結果を手動でレビューおよび分析して、ソース コード内のセキュリティ リスクを確認し、最終的なソース コード セキュリティ レビュー レポートを作成します。
情報システム ソース コードのセキュリティ レビュー コンテンツ (推奨される学習: Web フロントエンド ビデオ チュートリアル )
入力検証およびプレゼンテーション クラス: クロスサイト スクリプティング、SQL インジェクション、サービス拒否など。
コード品質: null ポインター呼び出し、解放されないリソースなど。
API 呼び出しクラス: null 値がチェックされず、戻り値検出されないなど。
セキュリティ機能: パスワード管理、安全でない乱数など。
時間とステータス: コード エラー、固定セッションなど。
エラー処理: 例外キャプチャが多すぎる、スローされた例外が多すぎるなど
カプセル化クラス: システム情報漏洩など
##環境クラス: パスワード管理など ##情報システムソースコードセキュリティ審査プロセス合計 委託受入、準備、実施、評価、結論の5段階に分かれています。
委託受諾段階: ソースコードレビュープロジェクトに関する委託部門との販売前コミュニケーション、「機密保持契約」への署名、テスト対象部門から提出された情報の受け取り、テスト対象部門の記入支援「情報システムソースコードセキュリティ審査基本状況アンケート」を実施し、必要に応じて中央技術部門が委託先に対して技術相談を行います。事前連絡の後、両者は「情報システムソースコードセキュリティレビュー契約」に署名した。
準備段階: プロジェクトマネージャーは、「情報システムソースコードセキュリティレビュー計画」の作成を整理し、テスト計画の内容について委託部門と連絡し、情報システムソースの具体的な日付を決定します。コードのセキュリティレビューと顧客と協力する担当者が、テストの前に準備をするよう顧客に通知します。
レビューの具体的な日付とお客様の協力担当者は、テストの準備のためにお客様に通知されます。
実装段階:プロジェクト管理者は、プロジェクトチームのテスト担当者が実施するテスト項目を明確にし、テスト対象部門から提出された「情報システムソースコードセキュリティレビュー基本状況調査票」に基づいてテスト環境を展開し、ソースコードのセキュリティレビューの準備をします。検査担当者はソース コード セキュリティ スキャンを完了すると、スキャン結果に基づいてソース コード スキャン結果を分析およびレビューします。分析とレビュー作業が完了したら、プロジェクト チームのメンバーは、監督者と顧客の監督の下で、試験装置にロードされた顧客コード情報を完全に消去する必要があります。
総合評価段階: プロジェクトチームはソースコードセキュリティレビューデータを整理し、「情報システムソースコードセキュリティレビューレポート」を作成し、レビュー結果を顧客に伝えます。
調査段階: プロジェクト チームは、評価プロセス中に生成されたさまざまなドキュメントと処理記録を整理し、それらを自動的にアーカイブして保存します。カスタマーサービススタッフは、顧客のフィードバックを収集するために「顧客満足度調査フォーム」に記入するよう顧客に勧めます。
以上がアプリケーション システム コードのセキュリティ レビューの内容には次のものが含まれます。の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。