我不熟悉对内部开发的应用程序进行全面信息安全审查所涉及的所有步骤，所以我想知道以下情况是否普遍。

创建一个 Web 应用程序，并在 Microsoft 的 .NET 框架之上运行。

根据安全审查的条款，此处定义为非内部编写的代码（无论正确或错误）的所有第三方代码都需要进行审查。

因此，即使是 .NET 堆栈本身——不仅仅是写在 .NET 堆栈之上的内部代码——也需要进行审计。因此，除了对代码进行初步审核外，还必须审核任何 Microsoft 更新。例如，假设应用使用 MVC 5.2，微软发布 MVC 5.3，应用升级到 MVC 5.3；在这种情况下，应用程序无法通过审核，直到（以及其他测试）MVC 5.3 代码库本身通过审核/审核运行。

这是正常信息安全审查的一部分吗？

在 Microsoft 堆栈上构建应用程序时，对 Microsoft 自己的代码库进行安全审查是标准做法吗？

怎么能假设内部审计和审查过程（使用任何第三方工具）会比微软自己运行的测试更复杂？

这个循环在哪里停止？谁说第三方工具和/或内部测试达到标准？我想也应该对这些流程进行审核。然后对这些审计进行审计......等等等等。在某些时候，这必须停止并且必须有一定程度的信任，对吧？