5.2 審計準備

5.2.1 明確審計目的

代碼安全審計的目的包括軟件采購/外包測試、軟件產品的認證測試、公司軟件代碼安全性自查等。

5.2.2 簽署保密協議

為避免被審計單位的代碼被審計方用于非代碼審計用途，雙方應簽署代碼審計保密協議，明確雙方的權利和義務。

5.2.3 背景調研

了解代碼的應用場景、目標客戶、開發內容、開發者遵循的標準和流程等。

5.2.4 熟悉代碼

通過閱讀代碼，了解程序代碼結構、主要功能模塊，以及采用的編程語言。

5.2.5 制定檢查列表

通過明確審計目的、背景調研、熟悉代碼等工作，形成代碼安全審計要點，制定代碼安全的檢查列表。檢查列表包括檢查項和問題列表。