C语言是一种面向过程的程序设计语言:广泛应用于系统软件与嵌入式软件的开发。C++语言是一种面向对象的程序设计语言,它在C语言的基础上发展而来,与C语言具有许多相同的语法,广泛应用于系统软件与应用软件的开发。由于各种人为因素影响,每个软件的源代码都难免会存在漏洞,而软件信息泄露、数据或代码被恶意算改等安全事件的发生一般都与源代码漏洞有关。计算机信息系统在需求、设计、实现、配置、运行过程中,有意或无意产生的缺陷。这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中,如果利用不当,会对计算机信息系统的安全造成损害,从而影响计算机信息系统的正常运行。GB/T34943-2017适用于开发人员和第三方检测机构测试人员利用自动化静态分析工具开展C/C++语言源代码漏洞测试的活动。源代码的漏洞是存在于软件源代码中的漏洞。
源代码漏洞的测试过程:分为测试策划、测试设计、测试执行和测试总结四个阶段。
C/C++语言源代码漏洞测试项目主要包含:
行为问题-由于应用程序的意外行为而引发的漏洞;
路径错误-不恰当的处理访问路径而引发的漏洞;
数据处理-处理数据的功能中发现的漏洞;
错误的API协议实现-由于软件未按预期用法使用API而引发的漏洞;
劣质代码-由于软件编写不规范导致潜在的漏洞;
不充分的封装-未充分封装关键数据或功能而引发的漏洞;
安全功能(明文存储口令、存储可恢复口令、口令硬编码、敏感信息明文传输、使用已破解或危险的加密算法、可逆的散列算法、不充分的随机函数等指标)-软件安全功能如身份鉴别、访问控制、机密性、密码学和特权管理等漏洞。
Web问题-Web技术相关的漏洞。
测试依据:
GB/T34943-2017《C/C++语言代码漏洞测试规范》
测试目的:
发现及定位软件源代码中存在的漏洞。
测试工具:
Checkmarx CxEnterprise工具进行测试。
测试环境:
测试环境为测试工具安装的环境,只需要将源代码传到测试工具所在的计算机即可。
测试执行:
应用自动化静态分析工具扫描和人工分析,筛选出误报的源代码漏洞。
测试总结:
核查测试环境、工具、内容、方法和结果是否正确;
确认测试目标和测试需求是否得到满足;
总结测试内容、方法和结果,出具测试报告。
北京仪综所软件质量检测中心具备专业的软件测试工程师,测试服务案例上千家,可以从分析测试需求-确定测试内容-确定测试方法-明确测试工具-确定测试环境-设计测试用例-形成测试说明-测试执行-分析测试结果-形成测试日志-评审测试执行-编制测试总结-评审测试总结-出具检测报告全流程全面的软件测试服务。通过专业的软件测试,能保证源代码的安全性和可靠性,提高软件系统的质量和安全性。
更多精彩: 免费发布信息网 http://www.zhelice.com/
