7.5.4  安全監理

1.安全監理工作內容

安全監理的主要作用是：檢查和控制開發流程，確保開發流程中各項安全措施的遵守。 安全監理應該由第三方擔任，可以外包，也可以由公司的其他部門承擔，不應由開發者擔任這個角色。安全監理的內容主要包括如下五部分。

1)開發環境的安全性

主要檢查內容包括：項目文檔、代碼存放是否安全；是否有完善的備份制度；是否有災難恢復機制；項目文檔和代碼的訪問是否受控；是否有代碼和文檔的版本管理；開發的網絡環境是否安全；開發人員使用的郵件組是否安全。

2)開發流程的安全性檢查和評估

主要檢查內容包括：程序員是否使用了“危險”的代碼；程序員的函數是否都檢查了人口參數的合法性；是否使用了未經授權的代碼；是否對第三方代碼進行安全性評估和測試，

就直接使用；測試用的“后門”，是否在發布版中去除；程序員是否在代碼中隱藏“惡意” 的代碼；代碼中是否有無用的代碼。

3)開發各個環節的安全性措施是否被實施

主要檢查內容包括：是否對開發人員的郵件進行檢查；是否檢查了代碼和文檔的訪問權限。