Разработчик ПО должен обеспечить проведение тестирования на проникновение в отношении программы с целью выявления ее уязвимостей. Тесты, выполняемые в рамках тестирования на проникновение, должны быть разработаны с учетом:
- программы, в том числе информации о заимствованных у сторонних разработчиков ПО компонентах;
- результатов (перечень выявленных потенциальных угроз );
- результатов (перечень выявленных потенциально уязвимых конструкций в исходном коде программы);
- результатов (перечень выявленных потенциально уязвимых конструкций в исходном коде программы).
По на проникновение могут проводить доработку программы.
Для организации работ, выполняемых в процессах жизненного цикла ПО, документация разработчика ПО должна содержать список выявленных в ходе проведения тестирования на проникновение уязвимостей ПО (при выявлении).
Для требованиям настоящего стандарта документация разработчика ПО должна содержать:
- план тестирования, описание выполняемых тестов и инструментальных средств, используемых для тестирования на проникновение;
- фактические результаты тестирования на проникновение;
- отчеты, содержащие список выявленных уязвимостей программы (при выявлении), описание действий, направленных на их устранение, или обоснование невозможности или отсутствия необходимости в устранении уязвимостей программы.
Разработчику ПО следует обеспечить , связанной с выявленными в ходе тестирования на проникновение уязвимостями программы.
Примечание - Тестирование на проникновение предполагает выявление уязвимостей программы путем моделирования () действий потенциального . Тестирование на проникновение выполняют разработчик ПО или сторонние , обладающие компетенцией в области проведения такого рода испытаний, для актуальной программы. Выполнение тестирования на проникновение непосредственно разработчиками ипи специалистами по функциональному тестированию программы нежелательно [из 5.4.3.2 ГОСТ Р 56939-2016]