Аудит программного кода по требованиям безопасности представляет собой структурное тестирование ПО с целью выявления уязвимостей, появившихся на этапе реализации системы. Условием проведения аудита безопасности кода является наличие исходного программного кода и их спецификаций.
В общем плане аудит безопасности кода является итерационным процессом, включающим мероприятия по планированию, проведению анализа, выработке рекомендаций по доработке программы и документации.
Это наиболее эффективный метод анализа безопасности ПО, т.к. он позволяет выявить большинство проблем, недостатков и уязвимостей в программах и имеет большее покрытие по сравнению с тестом на проникновение, поскольку аудитор имеет доступ не только ко всему приложению, но и к его исходному коду. В процессе безопасной разработки программного обеспечения (SDL) аудит кода является обязательной практикой на этапе реализации и выпуска ПО.
Аудит безопасности исходного кода
Аудит безопасности исходного кода позволяет:
-
1
Определить уязвимости и недостатки безопасности в архитектуре приложения;
-
2
Использовать уязвимые компоненты из сторонних библиотек;
-
3
Выявить закладки, оставленные разработчиками преднамеренно и/или случайно;
-
4
Определить соответствие кода стандартам платформы или языка программирования.