軟件產(chǎn)品源代碼漏洞測(cè)試服務(wù)

尊敬的客戶，您好，非常榮幸為您提供專業(yè)的軟件測(cè)試服務(wù)，儀綜所軟件測(cè)試中心具備國家實(shí)驗(yàn)室資質(zhì)CNAS和CMA認(rèn)可資格，提供專業(yè)測(cè)試服務(wù)，隨著軟件行業(yè)的不斷發(fā)展，各個(gè)行業(yè)對(duì)代碼安全層面的要求越來越重視，像電力、金融等行業(yè)都已經(jīng)發(fā)展出了自己的行業(yè)標(biāo)準(zhǔn)。

國內(nèi)代碼測(cè)試法規(guī)與標(biāo)準(zhǔn)主要有：
1、《中華人民共和國網(wǎng)絡(luò)安全法》；
2、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》GBTT22239-20193；
3、《C/C++語言源代碼漏洞測(cè)試規(guī)范》GB/T 34943-20174；
4、《Java語言源代碼漏洞測(cè)試規(guī)范》GB/T 34944-20175；
5、《C#語言源代碼漏洞測(cè)試規(guī)范》GB/T 34946-2017。
C/C++語言源代碼漏洞測(cè)試規(guī)范》GB/T 34943-2017、《Java語言源代碼漏洞測(cè)試規(guī)范》GB/T 34944-2017和《C#語言源代碼漏洞測(cè)試規(guī)范》GB/T 34946-2017這三個(gè)標(biāo)準(zhǔn)有很多漏洞類型的交集。
GB/T 34944-2017 《Java語言源代碼漏洞測(cè)試規(guī)范》作為Java語言的測(cè)試規(guī)范，應(yīng)用范圍非常廣泛。它當(dāng)中的有44個(gè)類型的漏洞。區(qū)別于其他幾個(gè)的方面主要有可序列化的類、包含敏感數(shù)據(jù)、會(huì)話永不過期、關(guān)鍵參數(shù)篡改。
GB/T 34943-2017《C/C++語言源代碼洞測(cè)試規(guī)范》是第二個(gè)用得相對(duì)比較多的規(guī)范。
C/C++語言在客戶端的開發(fā)、嵌入式的軟件開發(fā)過程中經(jīng)常用到。整個(gè)標(biāo)準(zhǔn)中一共有32個(gè)類型的漏洞。它特有的主要有：堆檢查、緩沖區(qū)溢出、使用外部控制的格式化字符串、敏感信息存儲(chǔ)于上鎖不正確的內(nèi)存空間、公有函數(shù)返回私有數(shù)組和整數(shù)溢出。
源代碼漏洞測(cè)試過程標(biāo)準(zhǔn)中明確了源代碼測(cè)試過程分為測(cè)試策劃、測(cè)試設(shè)計(jì)、測(cè)試執(zhí)行和測(cè)試總結(jié)四個(gè)階段。這個(gè)四個(gè)階段也是軟件測(cè)試通常用的步驟。先做策劃，要知道測(cè)試的目標(biāo)，要測(cè)哪些語言，依據(jù)的標(biāo)準(zhǔn)，用什么工具，搭建什么樣的環(huán)境，還涉及到一些人員分工分工和各階段的交付成果。要按照GB/T15532-2008 這個(gè)規(guī)范來產(chǎn)生測(cè)試各個(gè)階段相應(yīng)的一些文檔。設(shè)計(jì)階段的主要是根據(jù)測(cè)試的的目標(biāo)結(jié)合被測(cè)軟件源代碼的業(yè)務(wù)和技術(shù)特點(diǎn)，明確環(huán)境和工具。比如說要測(cè)一段java源代碼，就要搭建相應(yīng)的gdk，選擇能夠支持測(cè)試的工具。再有就是明確測(cè)試需求、測(cè)試方法和內(nèi)容，以及測(cè)試準(zhǔn)入條件和測(cè)試的準(zhǔn)出條件。也就是說測(cè)到什么時(shí)候?yàn)橹?。這個(gè)也是有一定的行業(yè)實(shí)踐的。一般來講，把軟件當(dāng)中工具發(fā)現(xiàn)的、人工挖掘到的高危的、中危的漏洞能夠測(cè)試出來，并且回歸完畢，作為一個(gè)關(guān)閉的節(jié)點(diǎn)，不可能無休止地測(cè)下去。
北京第三方軟件測(cè)試評(píng)估中心，提供軟件測(cè)試專業(yè)服務(wù)，具備專業(yè)的檢測(cè)技術(shù)服務(wù)團(tuán)隊(duì)，提供CNAS和CMA檢測(cè)報(bào)告。
檢測(cè)試驗(yàn)找彭工136-9109-3503。