5.3 審計實施

5.3.1 審計入場

入場實施環節中，審計人員和項目成員(關鍵代碼開發人員等)均應參與。審計人員介紹審計的主要目標、訪談對象和檢查的資料等。項目人員介紹項目進展、項目關鍵成員、項目背景、實現功能以及項目的當前狀態等。

5.3.2 信息收集

信息收集環節通過訪談等方式獲得代碼以及相應需求分析文檔、設計文檔、測試文檔等資料。通過文檔資料了解代碼的業務邏輯等信息。在了解代碼基本信息的基礎上，通過深人分析設計文檔、訪談關鍵開發人員等方式，區分核心代碼和一般性代碼，其中核心代碼一般為涉及核心業務功能和核心軟件功能的代碼，一般性代碼為非核心業務功能和非核心軟件功能的代碼。

5.3.3 代碼安全缺陷檢測

代碼安全缺陷檢測環節是根據制定的代碼安全的檢查項，采用工具審計、人工審計、人工結合工具審計方式檢查是否存在安全缺陷，檢測完成后進行安全性分析形成安全審計結果。

5.3.4 特殊情形審查

在有軟件外包/采用開源軟件/合作開發情形下，應對開源軟件或外包部分進行代碼安全審計。對于核心代碼和一般性代碼在審計時，采取重點審計和一般性審計措施，其中重點審計主要針對核心代碼進行審計，一般性審計主要針對一般性代碼進行審計。