軟件從簡(jiǎn)單的家用冰箱到工業(yè)生產(chǎn)工業(yè)生產(chǎn)的各個(gè)方面���。
過(guò)去�,軟件中的問(wèn)題只是重啟機器的一件小事����,但現在軟件在大型行業(yè)中發(fā)揮了越來(lái)越大的作用��。
軟件安全和質(zhì)量的隱患可能會(huì )威脅到人身安全和環(huán)境����。
在互聯(lián)網(wǎng)高度發(fā)達的當下�����,智能化的軟件成為商業(yè)決策����、推廣等不可缺少的利器�����,很多軟件涉及了客戶(hù)商業(yè)上重要的信息資料���,因此企業(yè)都很關(guān)心軟件的安全性���。
目前有許多種的測試手段可以進(jìn)行安全性測試�,安全測試方法分主要為三種:
①靜態(tài)的代碼安全測試:
主要通過(guò)對源代碼進(jìn)行安全掃描����,根據程序中數據流��、控制流����、語(yǔ)義等信息與其特有軟件安全規則庫進(jìn)行匹對����,從中找出代碼中潛在的安 全漏洞���。
靜態(tài)的源代碼安全測試是非常有用的方法�����,它可以在編碼階段找出所有可能存在安全風(fēng)險的代碼����,這樣開(kāi)發(fā)人員可以在早期解決潛在的安全問(wèn)題��。
而正因為如此�����,靜態(tài)代碼測試比較適用于早期的代碼開(kāi)發(fā)階段�,而不是測試階段��。
②動(dòng)態(tài)的滲透測試:
滲透測試也是常用的安全測試方法��。
是使用自動(dòng)化工具或者人工的方法模擬黑客的輸入�����,對應用系統進(jìn)行攻擊性測試����,從中找出運行時(shí)刻所存在的安全漏洞�。
這種測試的特點(diǎn)是真實(shí)有效��,一般找出來(lái)的問(wèn)題都是正確的�����,也是較為嚴重的�。
但滲透測試一個(gè)致命的缺點(diǎn)是模擬的測試數據只能到達有限的測試點(diǎn)���,覆蓋率很低����。
③程序數據掃描�。
一個(gè)有高安全性需求的軟件��, 在運行過(guò)程中數據是不能遭到破壞的��,否則會(huì )導致緩沖區溢出類(lèi)型的攻擊����。
數據掃描的手段通常是進(jìn)行內存測試��,內存測試可以發(fā)現許多諸如緩沖區溢出之類(lèi)的漏洞�,而這類(lèi)漏洞使用除此之外的測試手段都難以發(fā)現�����。
例如�����,對軟件運行時(shí)的內存信息進(jìn)行掃描����,看是否存在一些導致隱患的信息���,當然這需要專(zhuān)門(mén)的工具來(lái)進(jìn)行驗證�����。
