《SI-代码走查报告.docx》由会员分享,可在线阅读,更多相关《SI-代码走查报告.docx(12页珍藏版)》请在课桌文档上搜索。
1、【安全管理平台项目】代码走查报告文档状选:文档编U:ZUH-代码士查报舌T”t草稿已发布修改中编限aasmwh2021-6-30保密圾别:内都公开文档版本t1.0文档控虬版本历史F1.期版本说明作者2021-6-301.0首次发布保密等级定义口公开资料0内部资料口保密资料口机密资料1 .目的对代码走查的结果进行整理和汇总,并形成正式的测试文档;将代码走查的报告以及结果纳入配巴管理库。2 .参考资料UAVA语言编码规范NET编码规范安全编程规范代码走查规程3 .代码检查项评审对象:系统登Iyi序号总则条款执行情况IM1命名规剜I1.1命幺规则是否与所采用的妙范保持一致是21.2是否潭循了最小长度
2、城乡信。原则ft31.3hnscanix的缀的济数跟否返回布尔型是2注弊12.1注秣是否较玳晰H必姿否代码由多位纨员进行褊写,部分代码为及时更新n:驿5224朵的分支流程是否已短技注修是623距阳较远的I是否已经被注忏&72.4非动用变最足否全部被注程825函数是否已是有文档注神否代码由多位超员进行蜡写.部分代码未及时更新注得926特殊用法是否被注忏是IO27当代码行变更时是否更新r注祁3声期空白缩进U3.1行是否只声明了一个变*(将别是那线可能出错的类鞭)是123.2变嫌是杳已势在定义的同时初始化序号总则条款执行情况M13工3类戕性是否都执行初始化是M3.4代码段落是否梭台玷地以空行分附&1
3、53.5是否合理地使用了空格使程序更清晰IB3.6代码行长度是古在要求之内是17&7折行是否恰当是4语句/功俺划分/短模181.)包含乂台语句的仆足杏成对出现并符合族公ft191.2是否治牛个的独环、条件谙句也加了U是204.3if/if-c1.3三cif-r1.xrif-e1.se/do*hi1.e/svitch-cose语句的格式是在符合视惹是211.Im个变量是否只救不个用途是224.5单行是否只有唱个功僮不要使用i送行多行合并是234.6草个函数是否执行/整个功能并与其命名相符244.7操作符,和煤作符的应用是否更合规范S代码由夕位斑员进行班写25,1.8小个由数不超过康定行敛ft26
4、4.g缩透层数此否不1过规定是5可靠性(总用,知和语,0)275.)是否己经消除了所有警告ft285.2畲敝受此先否声引为fina1.295.3对象使用的是否进行了检者是305.4局部对象变M使用后是否枝复位为N1.II1.&315.5对教组的访问是否足安全的(合法的index取fi0,M1X-SI2E-1)325.6是否病认没有同名变城局部城亚定义何圆是335.7程序中是否只使用了局里的农达式是345.8是否已经用O使操作符优先级明碉化355.9所书为断是否礼使用了富加一变条)的形式是序号总则条款执行情况M况5.10是否消除了流程型挂是375.H是否每个if-e1.seif-cUcIS句都罚
5、量后一个。】8。以碇保处现了全奥385.12是否每个switch-case语句都行我后,个defau1.t以确保处理了全CR395.13for循环是否都使用了包含下须不包含上限的彩式(k=0:kMAX)&405.14XM1.标记书马是否完整,字符串的拼写是否正确ft115,15对于泡操作代码的异常拓狭是否有fina1.1.y操作以关闭流对软&425.16退出代丹段时是否对他时对象做/释放处理是435.17对泞点致仇的相等外断是否是恰当的(严坡使用KH接刘新)是6可靠性(函敷)-116.1入U对象此否都被进行了判断不为空456.2入口数据的合法范困是否都被进行了利断(尤是466.3S对右异常拍出
6、的方法都执行广try.catch保JP是17&I是否函数的所在分支都仃返网故是4865int的返回位是否合理(,值为失败.非负(U成功)196.6对于反送行了int返网位外断是否定义了的致来处理是506.7关俄代码是否做了捕获异常处理ft516-8是否确保海散返回COR8A对象的任何一个就性和不能为nu1.1.526.9是否对方法返R1.侑对敛做inu1.1.检汽,该返M侑定义时是否被初始化&536.10是否对同步对软的遍历访向俊/代码同步是序号总则条款执行情况M546.11是否确认在对M冲对象使用迭代遍历过悭中没有做增设元次操作是556.12坡用处理rfitkWi环内部足否有井常捕获处理.防
7、止线程他山芹南而退出ft566.13母子操作代码异常中断,使用的相关外部交械是否恢H先前状悠是576.M掰数对错设的处理是皓当的7可俭护性587.1实现代码中是否消除rH接常M(M于计数起点的局里第数例外)&597.2是否消除了导致结构第IW的连族IiUf1.(B=b=d*c)否部分功能需要特殊处理.且已注仲607.3是否祗个return前都要芍日志记录&617.4是否有冗余只断语句(hif(b)rEu11UEo:e1.sereturnfa1.se:)是627.S是否把方法中的!R级代码抽象成私W函数是安包638.1是否确定WEB应用程序体系结构安ft648.2是否行安至的.9份验证和会话归理
8、机M65氏3是否才输入脸怔策略是668.1是否对椒密信息进行加变是678.5是否对敏出付息进行加够B88.6是有防止参畋H改698.7是否有sq1.注入漏iWS评审时象:工器具领用序号总则条款执行情况说明1命名规则11.1命幺晚则是否与所采用的政范保持一致&序号总则条款执行情况说明21.2是否遵循了城小长度Ai多信息朦则是31.3hascnn7is前燧的函数是否这回布尔型是2注理42.1注择是否较清晰且必整否代码由多位超员进行擢耳.部分代码为及时更新注转52.2亚伏的分支流程是否已经被注忏是62.3%.离较远的I是否已经被注和Ji72.4非均用变朵是否全茄枝注锋82.5函数是否已是皆文档注佯9
9、2.6特殊用法是否被注杼是102.7当代码行变史时是杳更新注耶是3声明空白缩进1)3算行是否只声明了一个变/(特别是那些可能出错的类型)&123.2变嫉是否已处在定义的同时初始化133.3类胧性是否部执行了初始化是M3.4代码段落是否被合法地以空行分1.S代码由多位姐员进行编HIS3.S是否合理地使用了空格使程序更清晰是163.6代码行长度是否在要求之内否代码由多位组员进行编写173.7折行是否恰当是4哂功四分,18.)包含发余语句的1:提杏成时出现并符介块落194.2是否蛉用个的制环、条件谙句也加了。201.3)f/if-1.se/if-e1.seif-e1.SWdoThi1.e/svitc
10、h-case语句的格代是否符合规而H21i.i单个金衣是否只做单个用途定224.5的行是否只有单个功俭(不要使用i进行实行合并)是231.6单个函数是否执行了小个功能并与其命名相符是序号总则条款执行情况说明241.7操作吊,和一操作符的应用是否复合规鱼是254.8的个论数不超过斓定行数是264.9纳进层数是否不超过赛定理5可性(总则女猫和语句)275.】是否已经消除r所有警告是285.2常数变Ift是否声明为fina1.J1.295.3对象使用Iiif足杏进行了依有305.4局部对般变笊使用后是杏枝灵位为NU1.1.是315.5对数租的访问是否是安全的(合法的index取惧0.WiS1.ZE-
11、I)是325.6是许确认没仃同名变K1.局第吨定义何的是335.7桂样中是否只使用了简单的表达式否箫分功能需要恃殊处理,且已注林345.8是否已经用O使爆作将优先级明确化&355.9所有别断是否都使用了(常窿=支f)的形式H365.10是否消除r流程悬挂375.11是否每个if-e1.scif-e1.sc语句都有最后一个e1.se以确保处理了全象是385.12处否每个Svitch-caseifi句都彳jift后一个defau1.t以偷保处理了全城是395.13for循环是否都使用了包含下须不包含上限的形式kR:kH405.14XM1.标记书巧处否完整.字符串的拼写处否正确是4)5.15对于能操
12、作代码的异常捕来是否有fina1.”探作以关用液对较是425.16退出代PS段时是育对格时对象做r释放处理是435.17对泞点散伙的相等汽断是否是恰身的(产禁使用=n接判断)6可拿性建ft)446.】入口时般是否都被进行了刘断不为空是序号总则条款执行情况说明456.2人口数据的合法范明是否都被过行了剂IK(尤其是466.3是否对有异常拈出的方法都执行了try.catch保护H476.1是否函数的所右分支都有迄问(ft是48615int的返回值是否合理(位值为失败,非负值成功)Ji496.6对反UiJ行ini返回(f1.判断是古定义f的我来处理是506.7美健代码是否轴了Hi茨异常处理a516.
13、8足否碇保国敛返网8限对象的仟何个规性都不能为nu1.1.526.9是否对方法返回次对象做了nu1.1.检查,该返回值定义时是否祓初蜡化是53B.10是否时同步对领的遍历访问做了代码同步546.H是否砒认在对VP对象使用迭代遍历过程中没仃做增成元素操件是556.12线出处理欣致拈坤内部是否有异常抽荻处理.防止线程抛出并常而退出566.1吼子操作代因异常中断,使用的相关外部变质是否恢M先就状态576.M由数对堵误的处理是皓当的7可卷护,It587.1实现代码中是否消除了直接常M(M于计数起点的简m常数例外)&597.2处否消除r等致站构镇糊的连续味使(1b=dtc)否而分功能霜要特殊处理,且已注
14、糅607.3是否的个return解都变书H志记录是6)7.4是否有兀余畀晰语句(知2if(b)re1.umtrue:e1.sereturnfa1.se;)是627.S是否把方法中的JR现代吗抽象成私自函数是8安全638.1是否前定肛B应用印序体系结构安金足序号总则条款执行情况说明64K.2是否右安全的身份验证和会话管理机制是658.3是否柠植入蛉证敬略是668.1是否对地梦信用造行加密理678.5是否对放感信息进行加解是688.6是否防止善款算以是698.7是否有Sq1.注入注洞否4 .代码走查结果分析4.1 缺陷分布情况*中量陆模块4r器具领用1合计4.2 缺陷状态情况t9Htt己美RJ未决已否决U打开登陆模块I40C1.0I工器Jt徽用11000i合计8800085 .总结对本次走查对登陆、工器具领用模块进行代码规范的审查,发现由于时间紧迫、开发人员多导致代码的注释更新不及时、注释位置、注释方法错误等问题,建议本次开发结束后针对代码的注解部分进行有效的更新和修改。序号姓名岗位职责工作量(时)备注I开发工程师22测试工程卿总计I人/大
