4.3 審計時機

代碼安全審計包括內部審計和外部審計。內部審計由單位內部的軟件質量保證人員開展，審計的意義是發現和預防安全問題的發生。外部審計由第三方開展。外部審計需要較多的準備工作，不宜頻繁安排。審計工作可安排在代碼編寫完成之后系統集成測試之前開展。由于資質認證、政策要求等因素，開展外部審計應提前通知開發團隊，并預留足夠時間。

內部審計通過代碼安全審計，保證軟件代碼安全質量。內部審計可安排在軟件開發生命周期內的不同階段。

增加審計次數。在代碼開發過程中，如果有頻繁改變代碼開發計劃或調整里程碑等異常情況時，也應增

歷史審計結果可以作為審計考慮的因素。若審計出的安全問題較多，則應根據實際修復情況適當加審計次數。