Dansk Tally- & Kontrolselskab A/S

Software Audit / Security Audit

Software- og security audit med skriftligt godkendt testmandat, teknisk gennemgang af kode, konfiguration, API, adgangsstyring, logging, dataflow og sårbarheder efter aftalt metode.

Ingeniør & Digitale ydelser

Software Audit / Security Audit i praksis

Software- og security audit må kun udføres med skriftlig tilladelse og godkendt testmandat fra systemejer. Et seriøst review beskriver systemgrænse, testmiljø, adgang, testvindue, data, metoder og forventet dybde, før scanning, kodegennemgang eller manuel test starter. OWASP WSTG og ASVS bruges som tekniske referencepunkter, men testprogrammet tilpasses systemets reelle risiko, arkitektur og forretningsproces.

Opgaver og leverancer

  • Skriftlig afklaring af testmandat, systemafgrænsning, testvindue, testmiljø, datarestriktioner, kontaktpunkt og stopkriterier.
  • SAST/DAST, manuel kodegennemgang, konfigurationsreview, API-test eller trusselsmodellering efter behov.
  • Prioritering af fund efter severity, forretningsrisiko, reproducerbarhed og remediation-indsats.
  • Rapportering med fund, teknisk bevis, impact, remediationforslag, begrænsninger og retestmulighed.

Teknisk grundlag

Teknisk afgrænsning

Sikkerhedstest udføres kun med skriftlig tilladelse og godkendt testmandat fra systemejer. OWASP WSTG/ASVS bruges som tekniske referencer, men checklisten tilpasses systemets reelle risiko. Security audit er ikke penetration test uden særskilt aftale.

Relevant grundlag
  • OWASP WSTG og ASVS efter afgrænsning
  • Systemarkitektur, kode, konfiguration og adgangsrammer
  • Logning, testdata og remediationplan

Kontrolpunkter

  • Om afgrænsning, tilladelse, testvindue, kontaktflow og stopkriterier er skriftligt afklaret.
  • Om auditten skal dække kode, API, webapp, cloud/hosting, konfiguration, adgangsstyring, logging eller dataflow.
  • Om fund skal prioriteres efter teknisk severity, forretningsrisiko, reproducerbarhed og remediation-indsats.
  • Om rapporten skal bruges af udviklere, ledelse, kunde, teknisk ejer eller som grundlag for retest.

Opgavegrundlag

  • Systembeskrivelse, arkitektur, aftalt afgrænsning, skriftlig testtilladelse og miljøer der må testes.
  • Testbrugere, kodeadgang/API-dokumentation, konfigurationsdata og relevante integrationsbeskrivelser.
  • Testvindue, kontaktperson, datarestriktioner, logging og acceptable testmetoder.
  • Ønsket rapportstruktur, severitymodel, remediationprioritering og behov for retest.

Opgaveeksempler

Praktiske anvendelser og dokumentationspunkter

Krav, data, tegninger, systemforhold og testgrundlag samles, så tekniske valg kan vurderes, prioriteres og dokumenteres.

Software Audit / Security Audit i praksis

Skriftlig afklaring af testmandat, systemafgrænsning, testvindue, testmiljø, datarestriktioner, kontaktpunkt og stopkriterier.

Dokumentation og opfølgning

SAST/DAST, manuel kodegennemgang, konfigurationsreview, API-test eller trusselsmodellering efter behov.

Leveranceforløb

Afgrænsning, metode og leverance

Når software, API eller digital proces skal vurderes teknisk for sårbarheder, fejlkonfigurationer, adgangsfejl eller databeskyttelsesrisici.

Autorisation, systembeskrivelse, arkitektur, testmiljø, adgangsrammer og ønsket testdybde.

Vi gennemfører review/test inden for den aftalte afgrænsning og leverer prioriterede fund med reproduktion, risiko og praktiske remediationforslag.

Software Audit / Security Audit med klar afgrænsning

Systembeskrivelse, ønsket afgrænsning og skriftligt godkendt testmandat fastlægger metode, testvindue og auditformat, før teknisk test går i gang.