一種軟件安全測試方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明公開一種軟件安全測試方法�,屬于軟件測試領(lǐng)域��。
【背景技術(shù)】
[0002]軟件安全性測試是檢驗軟件中已存在的軟件安全措施是否有效的測試�����,是保證系統(tǒng)安全性的重要手段�����。隨著軟件應(yīng)用領(lǐng)域的日益廣泛�����,及在重要領(lǐng)域如航空���、核工業(yè)�����、醫(yī)療等的軟件事故的發(fā)生��,軟件安全問題也越來越受到重視����。軟件安全性測試可以分為安全功能測試和安全漏洞測試兩個方面。安全功能測試是在軟件的需求分析階段就定制軟件的安全功能需求�����,明確軟件的安全功能����,在軟件的驗收階段測試軟件的相關(guān)功能實現(xiàn)與否�����。軟件主要的安全性功能需求包括數(shù)據(jù)的私密性和完整性�、訪問控制、安全管理等����。安全漏洞是指軟件系統(tǒng)中存在的可被惡意代碼或外來攻擊利用的缺陷,目前的代碼審查工具就是針對此類測試��。目前國內(nèi)進行的軟件安全性測試,基本上都是通過使用工具進行基礎(chǔ)的掃描���,可檢測的漏洞范圍受限����,與本行業(yè)的安全規(guī)則適用性限制����,檢測結(jié)果的效率和準(zhǔn)確率參差不齊。
[0003]本發(fā)明提供一種軟件安全測試方法����,通過建立安全規(guī)則的模板,并依據(jù)模板創(chuàng)建待測軟件安全規(guī)則庫���,導(dǎo)入已定義的軟件安全規(guī)則庫到軟件安全漏洞掃描工具中����,進行軟件安全靜態(tài)測試����,形成初步的軟件安全漏洞報告,針對初步的軟件安全漏洞報告進行動靜態(tài)方法相結(jié)合測試方法��,提高軟件安全測試的適用性、準(zhǔn)確性���。
【發(fā)明內(nèi)容】
[0004]本發(fā)明針對現(xiàn)有技術(shù)中軟件安全性測試����,可檢測的漏洞范圍受限�,與本行業(yè)的安全規(guī)則適用性限制,檢測結(jié)果的效率和準(zhǔn)確率參差不齊的問題�,提供一種軟件安全測試方法,提高軟件安全測試的適用性�、準(zhǔn)確性。
[0005]本發(fā)明提出的具體方案是:
一種軟件安全測試方法:
定義軟件安全規(guī)則的模板�����,并依據(jù)模板創(chuàng)建待測軟件安全規(guī)則庫���;
將軟件安全規(guī)則庫導(dǎo)入到軟件安全漏洞掃描工具中,進行軟件安全靜態(tài)測試���,形成初步軟件安全漏洞報告���;
依據(jù)初步軟件安全漏洞報告���,將漏洞篩選為明顯漏洞與不確定漏洞,針對不確定漏洞�,依據(jù)漏洞設(shè)計測試場景和測試用例,在相關(guān)代碼中插入粧進行動態(tài)驗證���,動態(tài)執(zhí)行代碼����,執(zhí)行測試用例集���,通過已插入粧的輸出�,來判定是否為真的漏洞���。
[0006]針對明顯漏洞反饋進行修改�����,修改后復(fù)測�,仍有明顯漏洞繼續(xù)重復(fù)進行�����,直至修復(fù)漏洞。
[0007]所述安全規(guī)則包括規(guī)則標(biāo)識碼�����、規(guī)則名稱�����、規(guī)則描述����、適用語言、規(guī)則分類�����、風(fēng)險等級�、推薦解決方案。
[0008]所述安全規(guī)則與風(fēng)險等級是1對1的關(guān)系�����,與推薦解決方案是多對1的關(guān)系�。
[0009]本發(fā)明的有益之處是: 本發(fā)明提供一種軟件安全測試方法,定義軟件安全規(guī)則的模板��,并依據(jù)模板創(chuàng)建待測軟件安全規(guī)則庫���;將軟件安全規(guī)則庫導(dǎo)入到軟件安全漏洞掃描工具中���,進行軟件安全靜態(tài)測試,形成初步軟件安全漏洞報告�����;依據(jù)初步軟件安全漏洞報告�����,將漏洞篩選為明顯漏洞與不確定漏洞�����,針對不確定漏洞���,依據(jù)漏洞設(shè)計測試場景和測試用例�,在相關(guān)代碼中插入粧進行動態(tài)驗證��,動態(tài)執(zhí)行代碼,執(zhí)行測試用例集�,通過已插入粧的輸出,來判定是否為真的漏洞���。本發(fā)明通過建立安全規(guī)則的模板��,并依據(jù)模板創(chuàng)建待測軟件安全規(guī)則庫��,導(dǎo)入已定義的軟件安全規(guī)則庫到軟件安全漏洞掃描工具中��,進行軟件安全靜態(tài)測試��,形成初步的軟件安全漏洞報告����,針對初步的軟件安全漏洞報告進行動靜態(tài)方法相結(jié)合測試方法�����,提高軟件安全測試的適用性�����、準(zhǔn)確性��。
【附圖說明】
[0010]圖1本發(fā)明方法流程示意圖。
【具體實施方式】
[0011 ] 一種軟件安全測試方法:
定義軟件安全規(guī)則的模板�����,并依據(jù)模板創(chuàng)建待測軟件安全規(guī)則庫�����;
將軟件安全規(guī)則庫導(dǎo)入到軟件安全漏洞掃描工具中��,進行軟件安全靜態(tài)測試���,形成初步軟件安全漏洞報告;
依據(jù)初步軟件安全漏洞報告����,將漏洞篩選為明顯漏洞與不確定漏洞,針對不確定漏洞�����,依據(jù)漏洞設(shè)計測試場景和測試用例���,在相關(guān)代碼中插入粧進行動態(tài)驗證�,動態(tài)執(zhí)行代碼,執(zhí)行測試用例集����,通過已插入粧的輸出,來判定是否為真的漏洞�。
[0012]根據(jù)上述方法及
【發(fā)明內(nèi)容】
,參照附圖��,對本發(fā)明做進一步說明�����。
[0013]—種軟件安全測試方法:
定義軟件安全規(guī)則的模板��,并依據(jù)模板創(chuàng)建待測軟件安全規(guī)則庫��;其中所述安全規(guī)則包括規(guī)則標(biāo)識碼����、規(guī)則名稱、規(guī)則描述�����、適用語言��、規(guī)則分類、風(fēng)險等級��、推薦解決方案��;
而安全規(guī)則可以與風(fēng)險等級是1對1的關(guān)系�,與推薦解決方案是多對1的關(guān)系���;其中創(chuàng)建安全規(guī)則的參與人員包括高級開發(fā)人員��、項目經(jīng)理��、高級測試人員�、業(yè)務(wù)資深者等�;創(chuàng)建安全規(guī)則的方法不限于詞法分析、語義分析��、語法分析�����、控制流分析��、數(shù)據(jù)流分析�����、模型匹配等;創(chuàng)建安全規(guī)則庫的語言選擇描述性強的通用語言����,例如xml等等;
將軟件安全規(guī)則庫導(dǎo)入到軟件安全漏洞掃描工具中���,進行軟件安全靜態(tài)測試�����,形成初步軟件安全漏洞報告���;靜態(tài)檢測工具可以使用findbugs,AppScan等等����;
依據(jù)初步軟件安全漏洞報告,將漏洞篩選為明顯漏洞與不確定漏洞���;
針對明顯漏洞可以反饋給開發(fā)人員進行修改修復(fù)����,修改后繼續(xù)進行復(fù)測,仍有明顯漏洞則可繼續(xù)重復(fù)進行修改-復(fù)測-再修改的流程����,直至修復(fù)漏洞;
針對不確定漏洞�����,依據(jù)漏洞設(shè)計測試場景和測試用例�����,在相關(guān)代碼中插入粧進行動態(tài)驗證����,動態(tài)執(zhí)行代碼�����,執(zhí)行測試用例集��,通過已插入粧的輸出���,來判定是否為真的漏洞����。
[0014]進一步可形成篩選后的漏洞報告。
[0015]當(dāng)然����,初步軟件安全漏洞報告會出現(xiàn)不存在漏洞情況,說明軟件漏洞檢測安全�����。
[0016]綜上��,本發(fā)明提通過建立安全規(guī)則的模板�����,并依據(jù)模板創(chuàng)建待測軟件安全規(guī)則庫����,導(dǎo)入已定義的軟件安全規(guī)則庫到軟件安全漏洞掃描工具中,進行軟件安全靜態(tài)測試��,形成初步的軟件安全漏洞報告�����,針對初步的軟件安全漏洞報告進行動靜態(tài)方法相結(jié)合測試方法,提高軟件安全測試的適用性�����、準(zhǔn)確性�����。
【主權(quán)項】
1.一種軟件安全測試方法�����,其特征是 定義軟件安全規(guī)則的模板����,并依據(jù)模板創(chuàng)建待測軟件安全規(guī)則庫�����; 將軟件安全規(guī)則庫導(dǎo)入到軟件安全漏洞掃描工具中�,進行軟件安全靜態(tài)測試,形成初步軟件安全漏洞報告��; 依據(jù)初步軟件安全漏洞報告,將漏洞篩選為明顯漏洞與不確定漏洞�,針對不確定漏洞,依據(jù)漏洞設(shè)計測試場景和測試用例���,在相關(guān)代碼中插入粧進行動態(tài)驗證�����,動態(tài)執(zhí)行代碼����,執(zhí)行測試用例集�����,通過已插入粧的輸出����,來判定是否為真的漏洞。2.根據(jù)權(quán)利要求1所述的一種軟件安全測試方法�,其特征是針對明顯漏洞反饋進行修改,修改后復(fù)測�,仍有明顯漏洞繼續(xù)重復(fù)進行,直至修復(fù)漏洞�。3.根據(jù)權(quán)利要求1或2所述的一種軟件安全測試方法���,其特征是所述安全規(guī)則包括規(guī)則標(biāo)識碼、規(guī)則名稱���、規(guī)則描述��、適用語言��、規(guī)則分類�����、風(fēng)險等級�、推薦解決方案���。4.根據(jù)權(quán)利要求3所述的一種軟件安全測試方法����,其特征是所述安全規(guī)則與風(fēng)險等級是1對1的關(guān)系��,與推薦解決方案是多對1的關(guān)系��。
【專利摘要】本發(fā)明公開一種軟件安全測試方法�����,屬于軟件測試領(lǐng)域�����;本發(fā)明通過建立安全規(guī)則的模板�����,并依據(jù)模板創(chuàng)建待測軟件安全規(guī)則庫�����,導(dǎo)入已定義的軟件安全規(guī)則庫到軟件安全漏洞掃描工具中�����,進行軟件安全靜態(tài)測試��,形成初步的軟件安全漏洞報告���,針對初步的軟件安全漏洞報告進行動靜態(tài)方法相結(jié)合測試方法�����,提高軟件安全測試的適用性��、準(zhǔn)確性��。
【IPC分類】G06F11/36, G06F21/57
【公開號】CN105335290
【申請?zhí)枴緾N201510769968
【發(fā)明人】趙霞
【申請人】浪潮電子信息產(chǎn)業(yè)股份有限公司
【公開日】2016年2月17日
【申請日】2015年11月12日