代碼安全審計報告

A.1 概述

本附錄給出了第5章代碼安全審計過程中的審計報告的示例。

A.2 報告內容

A.2.1 審計總體信息

審計總體信息應包括但不限于以下信息：

a)審計日期；

b)審計團隊成員信息；

c)審計依據；

d)審計原則；

e)代碼的信息，包括但不限于：代碼功能描述、被審計代碼的版本號、代碼語言類型、代碼總行數等。

A.2.2 審計流程與內容

審計流程與內容應包括但不限于：

a)審計流程；

b)審計方法；

c)審計內容。

A.2.3 發現的安全缺陷匯總

發現的安全缺陷匯總應包括但不限于以下信息：

a)該版本代碼發現的異常情況匯總；

b)可能造成的嚴重后果。

A.2.4 發現的安全缺陷分析

發現的安全缺陷分析應包括但不限于以下信息：

a)高風險安全缺陷分析；

b)中風險安全缺陷分析；

c)低風險安全缺陷分析。

A.2.5 審計總結

審計總結應包括但不限于以下信息：

a)審計結果匯總，例如，審計條款符合數量，審計條款不符合數量，審計條款不適用數量，不符合的審計條款原因等；

b)殘余缺陷分析；

c)安全缺陷改進建議。