5.4.3.2 должен обеспечить проведение в отношении с выявления ее . Тесты, выполняемые в рамках тестирования на проникновение, должны быть разработаны с учетом:
- программы, в том числе о заимствованных у сторонних разработчиков ПО ;
- ( выявленных потенциальных );
- результатов (перечень выявленных потенциально уязвимых в );
- результатов (перечень выявленных потенциально уязвимых конструкций в программы).
По на проникновение могут проводить доработку программы.
Для организации , выполняемых в ПО, должна содержать выявленных в ходе проведения тестирования на проникновение уязвимостей ПО (при выявлении).
Для настоящего разработчика ПО должна содержать:
- план тестирования, описание выполняемых тестов и , используемых для тестирования на проникновение;
- фактические результаты тестирования на проникновение;
- , содержащие список выявленных уязвимостей программы (при выявлении), , направленных на их устранение, или невозможности или отсутствия необходимости в устранении уязвимостей программы.
Разработчику ПО следует обеспечить , связанной с выявленными в ходе тестирования на проникновение уязвимостями программы.
— Тестирование на проникновение предполагает выявление уязвимостей программы путем () потенциального . Тестирование на проникновение выполняют разработчик ПО или сторонние , обладающие компетенцией в области проведения такого рода , для актуальной программы. Выполнение тестирования на проникновение непосредственно разработчиками или специалистами по нежелательно.
[из 5.4.3.2 ГОСТ Р 56939–2016]