软件商品审计可以通过以下步骤进行:
拨洋葱模式追踪采购过程
从最终用户开始,沿着采购链条一级级追踪,直到最终开发企业的销售价格,以确定软件的实际价格。
关注软件实施过程中的转包分包情况
分析转包分包的单价,审查软件价格是否虚高。对比项目中标价格和中标企业的转包或分包价格,揭示是否存在高价中标的情况。
关注合同执行中的变更情况
审查软件开发或采购价格在项目执行过程中是否有减少项目开发内容、变更项目采购内容或挤占挪用软件开发费用等情况,以判断软件造价是否虚高。
软件审计全流程
确立审计目标、范围和对象,收集相关文档。
差异化软件过程审计方法
获取待审计软件数据,根据预设版本分级标准和待审计软件数据确定软件类别。
根据软件类别确定审计项目,对待审计软件进行审计,并生成审计报告,报告中包括不达标项目。
代码审计方法
静态分析:使用工具如FindBugs、PMD、Checkstyle等,在不运行程序的情况下对源代码进行分析和检查,自动检测代码中的问题和缺陷。
动态分析:使用工具如JProfiler、GDB、Valgrind等,在运行程序的情况下对源代码进行分析和检查,检测程序运行时的性能问题和内存泄漏等问题。
人工审查:由专业开发人员对源代码进行仔细阅读和分析,发现其中的问题和缺陷,提供更为准确和深入的分析结果。
代码审计流程
确定审计目标和范围,包括审计的模块和功能点。
选择合适的审计方法,可以是静态分析、动态分析或人工审查。
执行审计,记录问题和缺陷。
分析审计结果,确定问题的严重程度和优先级。
提供修复建议和方案。
跟踪问题解决情况,确保问题得到彻底解决。
通过上述步骤和方法,可以全面评估软件商品的安全性、合规性和性能质量,确保软件采购和开发过程中的透明度和公正性。