60、报告撰写与信息安全相关知识

报告撰写与信息安全相关知识

1. 报告撰写工具与流程

1.1 Dradis CE 工具

Dradis CE 允许在发现问题时及时录入，测试结束后可将项目导出为适合交付给客户的最终报告。不过，在能够无缝输出报告之前，需要花时间对其进行配置。配置完成后，与直接在桌面出版软件中编辑文档相比，它有很大的省时潜力。通过点击每个 Dradis 页面顶部可见的“Export Results”链接即可访问其导出管理器。

1.2 报告校对

报告撰写完成后，强烈建议让他人帮忙审阅。这个人可以是同事，需受与客户签订的相同保密协议和合同约束。其作用一是从客观角度通读报告，找出语法错误、拼写错误或标点使用不当的问题；二是检查句子是否易于阅读，确保报告在解释如何修复已识别问题的同时，尽可能便于阅读。即便报告经过仔细检查，也可能出现错误。若客户发现错误，可道歉并检查问题，然后发布修正后的第二版报告。对于客户提出的降低漏洞风险的缓解措施或对漏洞影响的不同看法，要进行验证并重新检查工作，必要时发布修订文档。

1.3 报告交付

交付客户报告时切勿仓促行事，要确保最终报告不落入他人之手。报告包含敏感的安全漏洞和技术信息，必须在与客户之间保密处理。应遵循行业最佳实践指南进行安全传输，虽然没有数据能 100% 安全，但传输数据时使用足够强的加密是必要的。使用 Pretty Good Privacy (PGP) 加密的电子邮件是网络安全行业的事实上的标准，但很多客户可能未设置好以这种方式收发邮件。存档加密、OpenSSL 和 S/MIME 是合适的替代方法，但偏离 PGP 时需谨慎，因为有些加密类型抵御攻击的能力不足，不应使用。例如，使用默认 ZIP