我建议在安全代码审查中包含以下信息：

漏洞概述- 这应该包括对所发现问题的高级概述。这可能还包括有关漏洞类型的背景信息。

严重性- 确定一个等级，例如高、中、低或似乎适用于您正在审查的软件的等级。

漏洞详细信息这应包括与漏洞相关的特定详细信息，因为它与您正在测试的软件有关。如果您可以访问代码并且可以记录有问题的函数，那么这将是指出这一点的地方。

漏洞修复 这是您建议修复漏洞的解决方案的地方。

复制技术这可能是可选的，也可能不是可选的，但是您可以通过示例说明如何发现漏洞或如何利用它。

当然，我会为管理团队提供整个报告的高级摘要。

将报告的概述放在开头。它应该用 1-2 句话概括整个应用程序的安全性。根据选择风险评级的因素提供指导。

根据漏洞类型将报告划分为项目。如果漏洞出现在 20 个地方，写 20 个条目会使文档变得更大，更难阅读。

根据风险对它们进行排序，以便更多地关注更关键的漏洞。

包括在每个项目中：

详情：

• 如果不会花费太多时间，就可以进行 PoC（这将有助于理解漏洞）
• 位置。如果你找到了保护措施，写下如何绕过它们

影响：

• 风险评级
• 可能发生的最坏情况是什么？

建议：函数、库或代码片段。修复时间（如果你可以估计的话）

还有ASVS 报告要求。但是它们要求每个通过的测试都存在验证结果，因此在代码审查的情况下报告将变得非常大。还有其他抱怨。