60 likes | 197 Vues
Одит на информационната сигурност. Лекция 101 b Одит на софтуеър. Одит на софтуеър. Класификация на софтуеъра съгласно механизмите на одит: - обекти – вътрешни структури от данни и методи - модули – логически завършени капсуловани единици от код (сиви кутии)
E N D
Одит на информационната сигурност Лекция 101b Одит на софтуеър Асоциация за информационна сигурност www.iseca.org
Одит на софтуеър • Класификация на софтуеъра съгласно механизмите на одит: - обекти – вътрешни структури от данни и методи - модули – логически завършени капсуловани единици от код (сиви кутии) - проекти – библиотечни обединения от модули с обща функционалност - продукт – съвкупност от библиотечни функционали с цел реализация на крайно решение • Видове одит на софтуеър - одит на код * правила на писане (по стандарт или изискване) * функционални тестове * структури от данни – референтност и коректност * модулни тестове (Unit tests) * интеграционни тестове (Integration tests)
Одит на софтуеър - одит на продукт * тестове на функционалност (съгласно спецификациите) * регресионни тестове * penetration tests * цялостност и състояние за диплоймънт на продукта - одит на документация на продукт * стандартизация на спецификациите * налична документация по модули и проекти * налична документация във вид на рапорти от одити - одит на продуктите за автоматизиран одит * хардуеърни конфигурации * собствен софтуъер * чужд софтуеър * софтуеър за генериране на рапорти
Одит на софтуеър • Екипи за одит (QA – Quality Assurance) - QA на ниво development – самите дивелопъри - QA на ниво проекти и продукти – специално наети за целта тестъри (валидатори), запознати със спецификациите - QA на документация – technical writers, специализирани QA - QA на продкут – външни и вътрешни одити • Автоматизирани продукукти за одит - собствени и наети/закупени хардуеърни конфигурации - собствен софтуеър (разработени от QA продукти) - закупен/нает софтуеър - системи за регресионни тестове (съвкупност от предходните) - полуавтоматизирани системи за тестване (намеса на одитора при определни стъпки от теста – въвеждане на информация, потвърждение/отказ на дадено събитие и т.н.)
Одит на софтуеър • Примери - структура на одиторски отдел в компания - структура на одит в една компания – V-образен модел в JCI, flat модел в BATM, хаотичен модел в повечето малки и средни компании - примерен стандарт за писане на код – MISRA - примерен функционален одит на код – структура и подреденост на методите (функциите, процедурите); взаимовръзки и нуждата от тях - примерен одит на структури от данни – динамичано заделяне и освобождаване на памет, референтност, помощни библиотеки, специални компилатори и др. - пример за одит за модулен тест – дебъгери, real-time дебъгери, собствен инструментариум за конкретния модул - пример за интеграционен тест – обща функционалност на продукт