Cita: ¿Qué es una auditoría de código fuente?
Tengo entendido que es cuando una empresa X contrata a 2 empresas de sistemas, una para que desarrolle un producto y la otra para que haga la auditoria del código fuente, como los clientes solo pueden probar la parte visual y las funcionalidades porque no tienen conocimientos tecnicos para probar lo otro, se contrata una segunda empresa que haga justamente eso, que mire todos los codigos fuentes y haga un informe sobre que cosas hay que mejorar desde el punto de vista de la programación, de esta forma se garantiza que no solo la interface y la funcionalidad sea la ideal sino que también el core que la soporta.
El lado malo es que ahora hay alguien que te reporta errores de codigo cuando antes no habia nadie y por lo tanto es un nuevo factor a tener en cuenta, ya no puedes hacer soluciones chapuceras en el codigo porque alguien lo va a ver y lo va a reportar.
El lado bueno es que si el dia de mañana hay algun problema con el codigo, escalabilidad o lo que sea, a la que van a ahorcar es a la empresa de la auditoria ya que se le paga exclusivamente para eso.
Ahora en la gerga de los auditores desconozco a que le llamaran "norma". Para mi una "norma" para realizar una auditoria seria que el codigo siga las llamadas "buenas practicas" que son propias del lenguaje y de cada framework en particular.