Non ho familiarità con tutti i passaggi coinvolti in un vero e proprio a tutti gli effetti revisione della sicurezza delle informazioni di un'applicazione sviluppata internamente, quindi mi chiedo se il seguente scenario sia o meno normale.
Viene creata un'applicazione Web e viene eseguita sopra il framework .NET di Microsoft.
Secondo i termini della recensione sulla sicurezza, tutto il codice di terze parti, definito qui (comunque a torto oa ragione) come codice non scritto in-house, ha bisogno di essere rivisto
Quindi, anche lo stack .NET stesso - non solo il codice interno scritto in alto dello stack .NET: deve essere controllato. Quindi oltre alla verifica iniziale del codice, eventuali aggiornamenti Microsoft dovrebbero essere controllati. Per esempio, supponiamo che l'app utilizzi MVC 5.2 e Microsoft rilascia MVC 5.3 e aggiornamenti dell'app a MVC 5.3; in questo caso, l'app non ha potuto superare la recensione fino a quando (tra gli altri test) viene eseguito lo stesso codebase di MVC 5.3 auditing / revisione.
Questa parte delle normali recensioni sulla sicurezza delle informazioni?
È prassi normale condurre una revisione della sicurezza della propria base di codice di Microsoft quando si crea un'applicazione nello stack Microsoft?
Come si può assumere un processo di revisione e revisione interna (utilizzando qualunque strumento di terze parti) sarebbe più sofisticato rispetto ai test che Microsoft avrebbe eseguito?
E dove finisce questo ciclo? Chi può dire che gli strumenti di terze parti e / oi test interni siano all'altezza? Suppongo che dovrebbe esserci anche una verifica di tali processi. E poi un audit di quegli audit ... ecc., Ecc., Ecc. Ad un certo punto, questo deve fermarsi e ci deve essere un livello di fiducia, giusto?