過去,軟件中的問題只是重啟機(jī)器的一件小事,但現(xiàn)在軟件在大型行業(yè)中發(fā)揮了"/>
品牌: | 騰創(chuàng)實(shí)驗(yàn)室 |
測(cè)試報(bào)告類型: | 軟件安全測(cè)試報(bào)告 |
報(bào)告范圍: | 全國(guó) |
單價(jià): | 面議 |
發(fā)貨期限: | 自買家付款之日起 天內(nèi)發(fā)貨 |
所在地: | 廣東 廣州 |
有效期至: | 長(zhǎng)期有效 |
發(fā)布時(shí)間: | 2023-12-14 06:55 |
最后更新: | 2023-12-14 06:55 |
瀏覽次數(shù): | 108 |
采購咨詢: |
請(qǐng)賣家聯(lián)系我
|
軟件從簡(jiǎn)單的家用冰箱到工業(yè)生產(chǎn)工業(yè)生產(chǎn)的各個(gè)方面。
過去,軟件中的問題只是重啟機(jī)器的一件小事,但現(xiàn)在軟件在大型行業(yè)中發(fā)揮了越來越大的作用。
軟件安全和質(zhì)量的隱患可能會(huì)威脅到人身安全和環(huán)境。
在互聯(lián)網(wǎng)高度發(fā)達(dá)的當(dāng)下,智能化的軟件成為商業(yè)決策、推廣等不可缺少的利器,很多軟件涉及了客戶商業(yè)上重要的信息資料,因此企業(yè)都很關(guān)心軟件的安全性。
目前有許多種的測(cè)試手段可以進(jìn)行安全性測(cè)試,安全測(cè)試方法分主要為三種:
①靜態(tài)的代碼安全測(cè)試:
主要通過對(duì)源代碼進(jìn)行安全掃描,根據(jù)程序中數(shù)據(jù)流、控制流、語義等信息與其特有軟件安全規(guī)則庫進(jìn)行匹對(duì),從中找出代碼中潛在的安 全漏洞。
靜態(tài)的源代碼安全測(cè)試是非常有用的方法,它可以在編碼階段找出所有可能存在安全風(fēng)險(xiǎn)的代碼,這樣開發(fā)人員可以在早期解決潛在的安全問題。
而正因?yàn)槿绱耍o態(tài)代碼測(cè)試比較適用于早期的代碼開發(fā)階段,而不是測(cè)試階段。
②動(dòng)態(tài)的滲透測(cè)試:
滲透測(cè)試也是常用的安全測(cè)試方法。
是使用自動(dòng)化工具或者人工的方法模擬黑客的輸入,對(duì)應(yīng)用系統(tǒng)進(jìn)行攻擊性測(cè)試,從中找出運(yùn)行時(shí)刻所存在的安全漏洞。
這種測(cè)試的特點(diǎn)是真實(shí)有效,一般找出來的問題都是正確的,也是較為嚴(yán)重的。
但滲透測(cè)試一個(gè)致命的缺點(diǎn)是模擬的測(cè)試數(shù)據(jù)只能到達(dá)有限的測(cè)試點(diǎn),覆蓋率很低。
③程序數(shù)據(jù)掃描。
一個(gè)有高安全性需求的軟件, 在運(yùn)行過程中數(shù)據(jù)是不能遭到破壞的,否則會(huì)導(dǎo)致緩沖區(qū)溢出類型的攻擊。
數(shù)據(jù)掃描的手段通常是進(jìn)行內(nèi)存測(cè)試,內(nèi)存測(cè)試可以發(fā)現(xiàn)許多諸如緩沖區(qū)溢出之類的漏洞,而這類漏洞使用除此之外的測(cè)試手段都難以發(fā)現(xiàn)。
例如,對(duì)軟件運(yùn)行時(shí)的內(nèi)存信息進(jìn)行掃描,看是否存在一些導(dǎo)致隱患的信息,當(dāng)然這需要專門的工具來進(jìn)行驗(yàn)證。