信息安全等级保护之管理要求→系统建设管理→外包软件开发

一、要求内容 

a)应根据开发要求测试软件质量; 

b)应在软件安装之前检测软件包中可能存在的恶意代码; 

c)应要求开发单位提供软件设计的相关文档和使用指南; 

d)应要求开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道。 

二、实施建议 

对于外包软件开发工作需要有安全方面和质量方面的要求,要求应当在外包合同中就声明出来;对于交付的软件在有条件的情况下应当对软件的可用性和安全性进行测试,如自身没有能力测试可以聘请第三方公司帮助测试。 

三、常见问题 

以往多数公司在外包开发项目中仅对软件质量进行要求,没有对软件的安全性进行要求和相应的测试。 

四、实施难点 

对于开发代码的安全审核和测试是非常困难的,要求审核人员具备较高的开发水平同时需要花费大量的审核时间。 

五、测评方法 

形式 访谈,检查。 对象 系统建设负责人,软件开发文档和使用指南,审查记录。 

实施 

a) 应访谈系统建设负责人,询问软件交付前是否依据开发要求的技术指标对软件功能和性能等进行验收检测,验收检测是否是由开发商和委托方共同完成,软件安装之前是否检测软件中的恶意代码,检测工具是否是第三方的商业产品;是否要求开发单位提供源代码,是否根据源代码对软件中可能存在的后门和隐蔽信道进行审查; 

b) 应检查是否具有需求分析说明书、软件设计说明书、软件操作手册、软件源代码文档等软件开发文档和使用指南; 

c) 应检查软件源代码审查记录,查看是否包括对可能存在的后门和隐蔽信道的审查结果。 

六、参考资料 

无。

如若转载,请注明出处:http://www.codingwhy.com/view/291.html

联系我们

在线咨询: 点击这里给我发消息

邮件:731000228@qq.com