Consigli per documentare la revisione del codice di sicurezza

5

Come devo documentare i risultati di una revisione del codice di sicurezza?

Qualcuno sa di risorse per i revisori che forniscono indicazioni su come dovrebbero documentare i loro risultati? Forse un documento che descrive le migliori pratiche o fa raccomandazioni sul modo migliore per farlo? Oppure, qualcuno qui ha qualche raccomandazione su come si dovrebbero scrivere i risultati e i risultati di una revisione del codice di sicurezza e cosa includere in tale riscrittura?

    
posta D.W. 06.06.2012 - 22:07
fonte

2 risposte

2

Raccomando di includere le seguenti informazioni in una revisione del codice di sicurezza:

Panoramica sulle vulnerabilità : dovrebbe includere una panoramica di alto livello su quale fosse il problema rilevato. Questo può anche includere informazioni di base sul tipo di vulnerabilità.

Gravità - Determina una scala come Alta, Media e Bassa o qualcosa che sembra applicabile al software che stai rivedendo.

Dettagli della vulnerabilità Questo dovrebbe includere dettagli specifici relativi alla vulnerabilità in quanto riguarda il software che stai testando. Se hai accesso al codice e puoi documentare la funzione in questione, questo sarebbe il posto giusto per segnalarlo.

Risanamento delle vulnerabilità Qui è dove suggerisci la soluzione per correggere la vulnerabilità.

Tecnica di replica Questo può o non può essere opzionale, tuttavia è possibile includere come è stata scoperta la vulnerabilità o come può essere sfruttata con esempi.

Ovviamente includo un riepilogo di alto livello dell'intero rapporto per il team di gestione.

    
risposta data 06.06.2012 - 22:30
fonte
1

Inserisci la panoramica del rapporto all'inizio. Dovrebbe riassumere l'intera sicurezza dell'applicazione in 1-2 frasi. Fornire una guida basata su quali fattori è stato scelto il Risk Rating.

Dividere il report in elementi basati sul tipo di vulnerabilità. Se la vulnerabilità viene presentata in 20 luoghi, la scrittura di 20 elementi renderà il documento più grande e più difficile da leggere.

Ordinali in base al rischio per attirare l'attenzione su vulnerabilità più critiche.

Includi in ciascun elemento:

Dettagli :

  • PoC di sfruttamento se non impiegherà troppo tempo (aiuterà a capire la vulnerabilità)
  • Location (s). Se hai trovato misure di protezione, scrivi come possono essere ignorati

Impatto :

  • Valutazione del rischio
  • Qual è la cosa peggiore che può succedere?

Raccomandazione : funzione, libreria o snippet di codice. È ora di correggere (se puoi stimarlo)

Esistono anche requisiti di reporting di ASVS . Ma richiedono la presenza di risultati di verifica per ogni test superato e pertanto i report diventeranno molto grandi in caso di revisione del codice. Ci sono anche altri reclami .

    
risposta data 07.06.2012 - 01:26
fonte

Leggi altre domande sui tag