No estoy familiarizado con todos los pasos involucrados en un artículo completo Revisión de seguridad de la información de una aplicación desarrollada internamente. así que me pregunto si el siguiente escenario es común o no.
Se crea una aplicación web y se ejecuta sobre el marco .NET de Microsoft.
Bajo los términos de la revisión de seguridad, todos los códigos de terceros, definido aquí (aunque sea correcto o incorrecto) como un código no escrito en la empresa, necesita ser revisado
Por lo tanto, incluso el propio .NET se apila, no solo el código interno escrito en la parte superior de la pila .NET - necesita ser auditado. Así que además de la auditoría inicial. del código, cualquier actualización de Microsoft tendría que ser auditada. Por ejemplo, Supongamos que la aplicación utiliza MVC 5.2 y Microsoft lanza MVC 5.3, y el actualizaciones de aplicaciones a MVC 5.3; En este caso, la aplicación no pudo pasar la revisión. hasta que (entre otras pruebas) el código base MVC 5.3 se ejecute a través de auditoría / revisión.
¿Es esta parte de las revisiones normales de seguridad de la información?
¿Es una práctica estándar realizar una revisión de seguridad del propio código de Microsoft cuando crea una aplicación en la pila de Microsoft?
¿Cómo podría uno asumir un proceso interno de auditoría y revisión (usando cualquier herramienta de terceros) sería más sofisticada que las pruebas que el propio Microsoft ejecutaría?
¿Y dónde se detiene este ciclo? ¿Quién puede decir que las herramientas de terceros y / o las pruebas internas están a la par? Supongo que debería haber una auditoría de esos procesos también. Y luego una auditoría de esas auditorías ... etc., Etc., etc. En algún momento, esto tiene que detenerse y debe haber un nivel de confianza, ¿no?