5.12 開發商安全測試和評估

5.12.1 一般要求

云服務商應要求開發商對所開發的信息系統、組件或服務：

a）制定并實施安全評估計劃。

b）以[賦值：云服務商定義的深度和覆蓋面]執行[選擇：單元；集成；系統；回歸]測試或評估。

c）提供安全評估計劃的實施證明材料，并提供安全評估結果。

d）實施可驗證的缺陷修復過程。

e）更正在安全評估過程中發現的脆弱性和不足。

5.12.2 增強要求

云服務商應：

a）要求信息系統、組件或服務的開發商在開發階段使用靜態代碼分析工具識別常見缺陷，并記錄分析結果。

b）要求信息系統、組件或服務的開發商實施威脅和脆弱性分析，并測試或評估已開發完成的信息系統、組件或服務。

c）在對信息系統、組件或服務的開發商進行評估時，應：

1）選擇滿足[賦值：云服務商定義的獨立性準則]的第三方，驗證開發商實施安全評估計劃的正確性以及在安全測試或評估過程中產生的證據。

2）確保獨立第三方能夠獲得足夠的資料來完成驗證過程，或已被授予獲得此類信息的訪問權限。

d）要求信息系統、組件或服務的開發商使用[賦值：云服務商定義的過程、規程或技術]對[賦值：云服務商定義的特定代碼]實施人工代碼審查，審查結果應易于理解且向云服務商提供，并確保云服務商可重構系統。

e）要求信息系統、組件或服務的開發商按照[賦值：云服務商定義的約束條件]，以[賦值：云服務商定義的廣度和深度]執行滲透性測試。

f）要求信息系統、組件或服務的開發商分析所提供的硬件、軟件和固件容易受到攻擊的脆弱點。

g）要求信息系統、組件或服務的開發商驗證安全措施測試或評估過程滿足[賦值：云服務商定義的廣度和深度要求]。

h）要求信息系統、組件或服務的開發商在運行階段使用動態代碼分析工具識別常見缺陷，并記錄分析結果。