13691093503一、源代码漏洞测试的目的
1、发现、定位及解决软件源代码中的漏洞;
2、为软件产品的安全性测量和评价提供依据。
二、测试依据
GB/T34944-2017《Java语言源代码漏洞测试规范》
三、源代码漏洞测试内容
1、行为问题:由于应用程序的以外行为而引发的漏洞;
2、路径错误:不恰当的处理访问路径而引发的漏洞;
3、数据处理:处理数据的功能中发现的漏洞。
4、处理程序错误:由于处理程序的管理不当而引发的漏洞。
5、不充分的封装:未充分封装关键数据或功能而引发的漏洞。
6、安全功能:软件安全功能如身份鉴别、访问控制、机密性、密码学和特权管理等相关的漏洞。
7、时间和状态:在多系统、进程或线程并发计算的环境下由于时间和状态管理不恰当而引发的漏洞。
8、Web问题:Web技术相关的漏洞。
9、用户界面错误:与用户界面相关的漏洞。
四、源代码测试过程的四个阶段
测试策划、测试设计、测试执行、测试总结。
五、测试方法
该测试首先采用自动化静态分析工具对被测源代码进行漏洞扫描,然后人工分析自动化静态分析工具的扫描结果,筛出误报的源代码漏洞。
六、源代码漏洞测试工具
选择源代码漏洞测试工具应首先明确GB/T15532一2008中4.8.2的要求,重点应考虑工具的漏报率和误报率,可通过调查或比较的方式评估工具的漏报率和误报率。选择的源代码漏洞测试工具应覆盖但不限于本标准的源代码漏洞测试内容,测试前应对工具的漏洞规则库和测试引擎进行必要的升级和维护。
在数字化转型的浪潮中,软件已成为推动社会与企业发展的核心力量。然而,软件质量问题频发,故障、漏洞不断,给企业和用户带来了极大的困扰与损失。我方软件测评中心CNAS软件测试实验室通过专业的软件测试服务,为保障软件质量、助力企业发展保驾护航!若您正在寻找一家值得信赖的第三方软件测试服务提供商,不妨联系我们。
检测试验找彭工136-9109-3503。
更多精彩: 做推广 http://www.zhelice.com/article/
