Dasturiy ta'minot auditini ko'rib chiqish - Software audit review

A dasturiy ta'minotni tekshirishni ko'rib chiqish, yoki dasturiy ta'minot auditi, bir turi dasturiy ta'minotni ko'rib chiqish bunda a'zo bo'lmagan bir yoki bir nechta auditor dasturiy ta'minotni ishlab chiqish tashkilot "Texnik shartlar, standartlar, shartnomaviy bitimlar yoki boshqa mezonlarga muvofiqligini baholash uchun dasturiy mahsulotni, dasturiy ta'minot jarayonini yoki dasturiy ta'minot jarayonlarining mustaqil ekspertizasini" o'tkazadi.^[1]

"Dasturiy ta'minot" asosan, lekin faqat biron bir texnik hujjatga ishora qiladi. IEEE Std. 1028^[2] turli xil rejalar, shartnomalar, spetsifikatsiyalar, dizaynlar, protseduralar, standartlar va hisobotlar kabi hujjatli mahsulotlar, shuningdek ma'lumotlar, sinov ma'lumotlari kabi hujjatsiz mahsulotlarni o'z ichiga olgan 32 ta "audit qilinadigan dasturiy mahsulotlar namunalari" ro'yxatini taqdim etadi. va etkazib beriladigan ommaviy axborot vositalari.

Dasturiy ta'minot tekshiruvlari ajralib turadi dasturiy ta'minotni baholash va dasturiy ta'minotni boshqarish bo'yicha sharhlar chunki ular dasturiy ta'minotni ishlab chiqaruvchi tashkilotdan tashqarida va unga bog'liq bo'lmagan xodimlar tomonidan amalga oshiriladi muvofiqlik mahsulotlar yoki jarayonlarning texnik mazmuni, texnik sifati yoki boshqaruv ta'siridan ko'ra ko'proq.

IEEE Std-da tavsiflangan dasturiy ta'minot auditining shaklini belgilash uchun bu erda "dasturiy ta'minot auditini tekshirish" atamasi qabul qilingan. 1028.

Maqsadlar va ishtirokchilar

"Dasturiy ta'minot auditining maqsadi dasturiy mahsulotlar va jarayonlarning amaldagi qoidalar, standartlar, ko'rsatmalar, rejalar va protseduralarga muvofiqligini mustaqil baholashni ta'minlashdir".^[3] Quyidagi rollar tavsiya etiladi:

The Tashabbuskor (tekshiriladigan tashkilotda menejer, auditorlik tashkilotining mijozi yoki foydalanuvchi vakili yoki uchinchi shaxs bo'lishi mumkin), auditorlik tekshiruvi zarurligi to'g'risida qaror qabul qiladi, uning maqsadi va hajmini belgilaydi, baholash mezonlarini belgilaydi, auditorlik xodimlarini aniqlaydi , qanday choralar ko'rish zarurligini hal qiladi va auditorlik xulosasini tarqatadi.
The Bosh auditor (u "mustaqil, ob'ektiv baholash qobiliyatini pasaytirishi mumkin bo'lgan tarafkashlik va ta'sirdan xoli" bo'lishi kerak) ma'muriy vazifalar, masalan, audit rejasini tayyorlash, auditorlik guruhini yig'ish va boshqarish hamda auditorlik yig'ilishining ta'minlanishi uchun javobgardir. uning maqsadlari.
The Yozuvchi anomaliyalarni, harakatlarni, qarorlarni va auditorlik guruhi tomonidan berilgan tavsiyalarni hujjatlashtiradi.
The Auditorlar (kim, etakchi auditor singari, noaniqlikdan xoli bo'lishi kerak), audit rejasida belgilangan mahsulotlarni tekshiradi, ularning kuzatuvlarini hujjatlashtiradi va tuzatish choralarini tavsiya qiladi. (Faqat bitta auditor bo'lishi mumkin.)
The Tekshirilgan tashkilot auditorlar bilan aloqani ta'minlaydi va auditorlar tomonidan so'ralgan barcha ma'lumotlarni taqdim etadi. Tekshiruv tugagandan so'ng, tekshiriladigan tashkilot tuzatuvchi harakatlar va tavsiyalarni bajarishi kerak.

Dasturiy ta'minot auditi tamoyillari

Auditning quyidagi tamoyillari o'z aksini topishi kerak:^[4]

Vaqtlilik: Faqatgina jarayonlar va dasturiy ta'minot ularning xato va zaif tomonlariga moyilligi borasida doimiy ravishda tekshirilganda, shuningdek topilgan kuchli tomonlarni tahlil qilishni davom ettirishda yoki shunga o'xshash dasturlar bilan qiyosiy funktsional tahlilda yangilangan ramka davom ettirilishi mumkin .
Manba ochiqligi: Shifrlangan dasturlarni tekshirishda, ochiq manba bilan ishlashni qanday tushunish kerakligini aniq ko'rsatma talab qilinadi. Masalan, dasturlari, ochiq manbali dasturni taklif qiladigan, ammo IM serverini ochiq manba deb hisoblamaydigan, juda muhim deb hisoblanishi kerak. Auditor kriptologik dasturlar doirasida ochiq manbali tabiat ehtiyoji paradigmasiga o'z pozitsiyasini bildirishi kerak.
Muvaffaqiyat: Audit jarayonlari ma'lum bir minimal standartlarga yo'naltirilgan bo'lishi kerak. Dasturlarni shifrlashning so'nggi audit jarayonlari ko'pincha sifat jihatidan, ko'lami va samaradorligi hamda ommaviy axborot vositalarini qabul qilish tajribasi jihatidan juda xilma-xil bo'lib turadi. Bir tomondan maxsus bilimga ehtiyoj borligi va boshqa tomondan dasturlash kodini o'qiy olishi, keyin boshqa tomondan shifrlash protseduralari haqida ma'lumotga ega bo'lishi uchun ko'p foydalanuvchilar hatto rasmiy tasdiqlashning eng qisqa bayonotlariga ishonadilar. Auditor sifatida individual majburiyat, masalan. shuning uchun sifat, ko'lam va samaradorlik uchun o'zingiz uchun refleksli ravishda baholanadi va audit davomida hujjatlashtiriladi.

Moliyaviy kontekst: Dasturiy ta'minotning tijorat maqsadlarida ishlab chiqilganligini va audit tijorat maqsadlarida moliyalashtirilganligini (pullik Audit) aniqlashtirish uchun qo'shimcha shaffoflik zarur. Bu xususiy xobbi / jamoat loyihasi bo'ladimi yoki uning ortida tijorat kompaniyasi turadimi, farq qiladi.
Ta'lim istiqbollarini ilmiy yo'naltirish: Har bir audit natijalarni kontekstda batafsil tavsiflashi, shuningdek, rivojlanish va rivojlanish ehtiyojlarini konstruktiv ravishda ta'kidlashi kerak. Auditor dasturning ota-onasi emas, lekin hech bo'lmaganda u o'qituvchi rolida, agar auditor PDCA o'quv to'garagining bir qismi deb hisoblansa (PDCA = Reja-Do-Check-Act). Aniqlangan zaifliklar tavsifining yonida, shuningdek, innovatsion imkoniyatlar va potentsialni rivojlantirish tavsifi bo'lishi kerak.
Adabiyotga qo'shilish: O'quvchi faqat bitta ko'rib chiqish natijalariga tayanmasligi kerak, shuningdek menejment tizimi (masalan, PDCA, yuqoriga qarang) asosida ishlab chiquvchi guruh yoki sharhlovchining bundan keyin ham amalga oshirishga tayyorligi va tayyor bo'lishiga ishonch hosil qilish uchun hukm chiqarishi kerak. tahlil qilish, shuningdek ishlab chiqish va ko'rib chiqish jarayonida o'rganish va boshqalarning yozuvlarini ko'rib chiqish uchun ochiqdir. Auditorlik tekshiruvlarining har birida adabiyotlar ro'yxati ilova qilinishi kerak.
Foydalanuvchilar uchun qo'llanmalar va hujjatlarni kiritish: Keyinchalik qo'llanmalar va texnik hujjatlar mavjudmi yoki yo'qmi, agar ular kengaytirilgan bo'lsa, tekshirilishi kerak.
Innovatsiyalarga havolalarni aniqlang: Ikkala imkoniyatga ega bo'lgan ilovalar, shuningdek, oflayn va onlayn kontaktlarga xabar yuborish, shuning uchun suhbat va elektron pochtani bitta dasturda ko'rib chiqish - bu GoldBug-da bo'lgani kabi - yuqori ustuvorlik bilan sinovdan o'tkazilishi kerak (elektron pochtaga qo'shimcha ravishda chat suhbatlari mezonlari) funktsiya). Auditor, shuningdek, yangiliklarga havolalarni ajratib ko'rsatishi va keyingi tadqiqotlar va ishlab chiqish ehtiyojlarini ta'minlashi kerak.

Bu kripto-ilovalar uchun audit tamoyillari ro'yxati tavsiflaydi - texnik tahlil usullaridan tashqari - hisobga olinishi kerak bo'lgan asosiy qadriyatlar

Asboblar

Dasturiy ta'minot auditining bir qismi dastur kodini tahlil qiladigan va uning standartlarga, ko'rsatmalarga va eng yaxshi amaliyotlarga muvofiqligini aniqlaydigan statik tahlil vositalari yordamida amalga oshirilishi mumkin. Dan Statik kodni tahlil qilish uchun vositalar ro'yxati ba'zilari koddan me'morchilikni ko'rib chiqishga qadar juda katta spektrni qamrab oladilar va taqqoslash uchun foydalanishlari mumkin.

Adabiyotlar

^ IEEE Std. 1028-1997, Dasturiy ta'minotni ko'rib chiqish uchun IEEE standarti, 3.2-band
^ "IEEE 1028-2008 - dasturiy ta'minotni ko'rib chiqish va tekshirishlar uchun IEEE standarti". standartlar.ieee.org. Olingan 2019-03-12.
^ IEEE Std. 10281997, 8.1-band
^ Keyingi asosiy auditorlik tamoyillariga havolalar: Adams, Devid / Mayer, Ann-Katrin (2016): BIG SEVEN Study, taqqoslanadigan ochiq manbali kripto-messenjerlar - yoki: GoldBug-ning keng qamrovli konfidensiallik tekshiruvi va auditi, elektron pochtani shifrlash- Client & Secure Instant Messenger, GoldBug dasturining 20 ta funktsiyasining tavsiflari, testlari va tahliliy sharhlari IT xavfsizligi bo'yicha tekshiruvlar uchun 8 ta asosiy xalqaro auditorlik qo'llanmalarini baholashning muhim sohalari va usullari asosida 38 ta rasm va 87 ta jadval., URL: https://sf.net/projects/goldbug/files/bigseven-crypto-audit.pdf - Ingliz / nemis tili, 1.1-versiya, 305 bet, 2016 yil iyun (ISBN: DNB 110368003X - 2016B14779)

[1] IEEE Std. 1028-1997, Dasturiy ta'minotni ko'rib chiqish uchun IEEE standarti, 3.2-band

[2] "IEEE 1028-2008 - dasturiy ta'minotni ko'rib chiqish va tekshirishlar uchun IEEE standarti". standartlar.ieee.org. Olingan 2019-03-12.

[3] IEEE Std. 10281997, 8.1-band

[4] Keyingi asosiy auditorlik tamoyillariga havolalar: Adams, Devid / Mayer, Ann-Katrin (2016): BIG SEVEN Study, taqqoslanadigan ochiq manbali kripto-messenjerlar - yoki: GoldBug-ning keng qamrovli konfidensiallik tekshiruvi va auditi, elektron pochtani shifrlash- Client & Secure Instant Messenger, GoldBug dasturining 20 ta funktsiyasining tavsiflari, testlari va tahliliy sharhlari IT xavfsizligi bo'yicha tekshiruvlar uchun 8 ta asosiy xalqaro auditorlik qo'llanmalarini baholashning muhim sohalari va usullari asosida 38 ta rasm va 87 ta jadval., URL: https://sf.net/projects/goldbug/files/bigseven-crypto-audit.pdf - Ingliz / nemis tili, 1.1-versiya, 305 bet, 2016 yil iyun (ISBN: DNB 110368003X - 2016B14779)

[1]

[2]

[3]

[4]