13691093503
源代码漏洞的测试过程:分为测试策划、测试设计、测试执行和测试总结四个阶段。
C/C++语言源代码漏洞测试项目主要包含:
行为问题-由于应用程序的意外行为而引发的漏洞;
路径错误-不恰当的处理访问路径而引发的漏洞;
数据处理-处理数据的功能中发现的漏洞;
错误的API协议实现-由于软件未按预期用法使用API而引发的漏洞;
劣质代码-由于软件编写不规范导致潜在的漏洞;
不充分的封装-未充分封装关键数据或功能而引发的漏洞;
安全功能(明文存储口令、存储可恢复口令、口令硬编码、敏感信息明文传输、使用已破解或危险的加密算法、可逆的散列算法、不充分的随机函数等指标)-软件安全功能如身份鉴别、访问控制、机密性、密码学和特权管理等漏洞。
Web问题-Web技术相关的漏洞。
测试依据:
GB/T34943-2017《C/C++语言代码漏洞测试规范》
测试目的:
发现及定位软件源代码中存在的漏洞。
测试工具:
Checkmarx CxEnterprise工具进行测试。
测试环境:
测试环境为测试工具安装的环境,只需要将源代码传到测试工具所在的计算机即可。
测试执行:
应用自动化静态分析工具扫描和人工分析,筛选出误报的源代码漏洞。
测试总结:
核查测试环境、工具、内容、方法和结果是否正确;
确认测试目标和测试需求是否得到满足;
总结测试内容、方法和结果,出具测试报告。
更多精彩: B2B供求信息推广平台 http://www.zhelice.com/sell/
