4.5 審計方法

代碼安全審計常用的方法是將代碼安全缺陷形成審計檢查列表，對照代碼逐一檢查。檢查列表應根據被審計的對象和應用場景進行調整。

考慮到審計內容的復雜性，審計方法建議采用工具審計和人工審計相結合，多種手段綜合運用的方式。

采用專業代碼審計工具對代碼進行審計，形成審計報告，并對審計出的問題與標準相關審計項逐一人工核對。對于使用外部開源代碼較多的系統，在審計時可先檢測開源代碼的使用率，開源代碼的安全缺陷可從已知漏洞角度檢查。由于審計工具的局限性，不可避免存在誤報和漏報。對于誤報問題，應采用人工對比審計核查的方式開展。對于漏報問題應采用多個工具交叉審計的方式開展。人工審計是工具審計的必要補充，人工審計主要解決工具審計的誤報和漏報問題。在人工審計實施中，可借助工具對代碼模塊、數據流、控制流等邏輯結構進行分析提取，并逐條比對分析。

審計實施過程中，可根據審計工作需要劃分工作階段。如按進度或里程碑劃分；按周、月、季度劃分；按功能模塊實施單元劃分；按人員分工交叉審計劃分等。

對于審計出的缺陷，可根據缺陷的可利用性、影響程度、彌補代價等因素進行分級排序。