Algo que eu gosto em @electisec auditorias: As descobertas são rastreadas como problemas do GitHub. dando aos devs + auditores um tópico de discussão e histórico para cada item. isso é muito mais conveniente e colaborativo do que outros compromissos que tive que envolvem o gerenciamento de pdfs ou documentos do Word.

outro toque agradável é que cada item tem uma seção de "solução recomendada". de vez em quando, você vê uma abordagem bastante criativa que demonstra o quão profundamente o auditor considerou a base de código.