CN105335290A - 一种软件安全测试方法 - Google Patents
一种软件安全测试方法 Download PDFInfo
- Publication number
- CN105335290A CN105335290A CN201510769968.5A CN201510769968A CN105335290A CN 105335290 A CN105335290 A CN 105335290A CN 201510769968 A CN201510769968 A CN 201510769968A CN 105335290 A CN105335290 A CN 105335290A
- Authority
- CN
- China
- Prior art keywords
- software security
- leak
- software
- security
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
本发明公开一种软件安全测试方法,属于软件测试领域;本发明通过建立安全规则的模板,并依据模板创建待测软件安全规则库,导入已定义的软件安全规则库到软件安全漏洞扫描工具中,进行软件安全静态测试,形成初步的软件安全漏洞报告,针对初步的软件安全漏洞报告进行动静态方法相结合测试方法,提高软件安全测试的适用性、准确性。
Description
技术领域
本发明公开一种软件安全测试方法,属于软件测试领域。
背景技术
软件安全性测试是检验软件中已存在的软件安全措施是否有效的测试,是保证系统安全性的重要手段。随着软件应用领域的日益广泛,及在重要领域如航空、核工业、医疗等的软件事故的发生,软件安全问题也越来越受到重视。软件安全性测试可以分为安全功能测试和安全漏洞测试两个方面。安全功能测试是在软件的需求分析阶段就定制软件的安全功能需求,明确软件的安全功能,在软件的验收阶段测试软件的相关功能实现与否。软件主要的安全性功能需求包括数据的私密性和完整性、访问控制、安全管理等。安全漏洞是指软件系统中存在的可被恶意代码或外来攻击利用的缺陷,目前的代码审查工具就是针对此类测试。目前国内进行的软件安全性测试,基本上都是通过使用工具进行基础的扫描,可检测的漏洞范围受限,与本行业的安全规则适用性限制,检测结果的效率和准确率参差不齐。
本发明提供一种软件安全测试方法,通过建立安全规则的模板,并依据模板创建待测软件安全规则库,导入已定义的软件安全规则库到软件安全漏洞扫描工具中,进行软件安全静态测试,形成初步的软件安全漏洞报告,针对初步的软件安全漏洞报告进行动静态方法相结合测试方法,提高软件安全测试的适用性、准确性。
发明内容
本发明针对现有技术中软件安全性测试,可检测的漏洞范围受限,与本行业的安全规则适用性限制,检测结果的效率和准确率参差不齐的问题,提供一种软件安全测试方法,提高软件安全测试的适用性、准确性。
本发明提出的具体方案是:
一种软件安全测试方法:
定义软件安全规则的模板,并依据模板创建待测软件安全规则库;
将软件安全规则库导入到软件安全漏洞扫描工具中,进行软件安全静态测试,形成初步软件安全漏洞报告;
依据初步软件安全漏洞报告,将漏洞筛选为明显漏洞与不确定漏洞,针对不确定漏洞,依据漏洞设计测试场景和测试用例,在相关代码中插入桩进行动态验证,动态执行代码,执行测试用例集,通过已插入桩的输出,来判定是否为真的漏洞。
针对明显漏洞反馈进行修改,修改后复测,仍有明显漏洞继续重复进行,直至修复漏洞。
所述安全规则包括规则标识码、规则名称、规则描述、适用语言、规则分类、风险等级、推荐解决方案。
所述安全规则与风险等级是1对1的关系,与推荐解决方案是多对1的关系。
本发明的有益之处是:
本发明提供一种软件安全测试方法,定义软件安全规则的模板,并依据模板创建待测软件安全规则库;将软件安全规则库导入到软件安全漏洞扫描工具中,进行软件安全静态测试,形成初步软件安全漏洞报告;依据初步软件安全漏洞报告,将漏洞筛选为明显漏洞与不确定漏洞,针对不确定漏洞,依据漏洞设计测试场景和测试用例,在相关代码中插入桩进行动态验证,动态执行代码,执行测试用例集,通过已插入桩的输出,来判定是否为真的漏洞。本发明通过建立安全规则的模板,并依据模板创建待测软件安全规则库,导入已定义的软件安全规则库到软件安全漏洞扫描工具中,进行软件安全静态测试,形成初步的软件安全漏洞报告,针对初步的软件安全漏洞报告进行动静态方法相结合测试方法,提高软件安全测试的适用性、准确性。
附图说明
图1本发明方法流程示意图。
具体实施方式
一种软件安全测试方法:
定义软件安全规则的模板,并依据模板创建待测软件安全规则库;
将软件安全规则库导入到软件安全漏洞扫描工具中,进行软件安全静态测试,形成初步软件安全漏洞报告;
依据初步软件安全漏洞报告,将漏洞筛选为明显漏洞与不确定漏洞,针对不确定漏洞,依据漏洞设计测试场景和测试用例,在相关代码中插入桩进行动态验证,动态执行代码,执行测试用例集,通过已插入桩的输出,来判定是否为真的漏洞。
根据上述方法及发明内容,参照附图,对本发明做进一步说明。
一种软件安全测试方法:
定义软件安全规则的模板,并依据模板创建待测软件安全规则库;其中所述安全规则包括规则标识码、规则名称、规则描述、适用语言、规则分类、风险等级、推荐解决方案;
而安全规则可以与风险等级是1对1的关系,与推荐解决方案是多对1的关系;其中创建安全规则的参与人员包括高级开发人员、项目经理、高级测试人员、业务资深者等;创建安全规则的方法不限于词法分析、语义分析、语法分析、控制流分析、数据流分析、模型匹配等;创建安全规则库的语言选择描述性强的通用语言,例如xml等等;
将软件安全规则库导入到软件安全漏洞扫描工具中,进行软件安全静态测试,形成初步软件安全漏洞报告;静态检测工具可以使用findbugs,AppScan等等;
依据初步软件安全漏洞报告,将漏洞筛选为明显漏洞与不确定漏洞;
针对明显漏洞可以反馈给开发人员进行修改修复,修改后继续进行复测,仍有明显漏洞则可继续重复进行修改-复测-再修改的流程,直至修复漏洞;
针对不确定漏洞,依据漏洞设计测试场景和测试用例,在相关代码中插入桩进行动态验证,动态执行代码,执行测试用例集,通过已插入桩的输出,来判定是否为真的漏洞。
进一步可形成筛选后的漏洞报告。
当然,初步软件安全漏洞报告会出现不存在漏洞情况,说明软件漏洞检测安全。
综上,本发明提通过建立安全规则的模板,并依据模板创建待测软件安全规则库,导入已定义的软件安全规则库到软件安全漏洞扫描工具中,进行软件安全静态测试,形成初步的软件安全漏洞报告,针对初步的软件安全漏洞报告进行动静态方法相结合测试方法,提高软件安全测试的适用性、准确性。
Claims (4)
1.一种软件安全测试方法,其特征是
定义软件安全规则的模板,并依据模板创建待测软件安全规则库;
将软件安全规则库导入到软件安全漏洞扫描工具中,进行软件安全静态测试,形成初步软件安全漏洞报告;
依据初步软件安全漏洞报告,将漏洞筛选为明显漏洞与不确定漏洞,针对不确定漏洞,依据漏洞设计测试场景和测试用例,在相关代码中插入桩进行动态验证,动态执行代码,执行测试用例集,通过已插入桩的输出,来判定是否为真的漏洞。
2.根据权利要求1所述的一种软件安全测试方法,其特征是针对明显漏洞反馈进行修改,修改后复测,仍有明显漏洞继续重复进行,直至修复漏洞。
3.根据权利要求1或2所述的一种软件安全测试方法,其特征是所述安全规则包括规则标识码、规则名称、规则描述、适用语言、规则分类、风险等级、推荐解决方案。
4.根据权利要求3所述的一种软件安全测试方法,其特征是所述安全规则与风险等级是1对1的关系,与推荐解决方案是多对1的关系。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510769968.5A CN105335290A (zh) | 2015-11-12 | 2015-11-12 | 一种软件安全测试方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510769968.5A CN105335290A (zh) | 2015-11-12 | 2015-11-12 | 一种软件安全测试方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105335290A true CN105335290A (zh) | 2016-02-17 |
Family
ID=55285843
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510769968.5A Pending CN105335290A (zh) | 2015-11-12 | 2015-11-12 | 一种软件安全测试方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105335290A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108958890A (zh) * | 2018-07-25 | 2018-12-07 | 北京奇艺世纪科技有限公司 | 容器镜像检测方法、装置及电子设备 |
| CN109726131A (zh) * | 2019-01-03 | 2019-05-07 | 中国联合网络通信集团有限公司 | 缺陷检测方法及缺陷检测装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102082659A (zh) * | 2009-12-01 | 2011-06-01 | 厦门市美亚柏科信息股份有限公司 | 一种面向网络安全评估的漏洞扫描系统及其处理方法 |
| US20150033342A1 (en) * | 2012-04-28 | 2015-01-29 | Beijing Netqin Technology Co., Ltd. | Security detection method and system |
| CN104360938A (zh) * | 2014-10-21 | 2015-02-18 | 北京邮电大学 | 一种故障确认方法及其系统 |
-
2015
- 2015-11-12 CN CN201510769968.5A patent/CN105335290A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102082659A (zh) * | 2009-12-01 | 2011-06-01 | 厦门市美亚柏科信息股份有限公司 | 一种面向网络安全评估的漏洞扫描系统及其处理方法 |
| US20150033342A1 (en) * | 2012-04-28 | 2015-01-29 | Beijing Netqin Technology Co., Ltd. | Security detection method and system |
| CN104360938A (zh) * | 2014-10-21 | 2015-02-18 | 北京邮电大学 | 一种故障确认方法及其系统 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108958890A (zh) * | 2018-07-25 | 2018-12-07 | 北京奇艺世纪科技有限公司 | 容器镜像检测方法、装置及电子设备 |
| CN109726131A (zh) * | 2019-01-03 | 2019-05-07 | 中国联合网络通信集团有限公司 | 缺陷检测方法及缺陷检测装置 |
| CN109726131B (zh) * | 2019-01-03 | 2022-04-01 | 中国联合网络通信集团有限公司 | 缺陷检测方法及缺陷检测装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104077531B (zh) | 基于开放漏洞评估语言的系统漏洞评估方法、装置和系统 | |
| US8935794B2 (en) | Verifying application security vulnerabilities | |
| US10291643B2 (en) | Method and system for validating a vulnerability submitted by a tester in a crowdsourcing environment | |
| CN104462981B (zh) | 漏洞检测方法及装置 | |
| CN105068925B (zh) | 软件安全缺陷发现系统 | |
| CN104317722B (zh) | 一种基于Junit的单元测试方法及装置 | |
| CN103793652A (zh) | 一种基于静态分析的应用系统代码安全扫描装置 | |
| CN104462983B (zh) | 一种php源代码处理方法及系统 | |
| Ryoo et al. | Architectural analysis for security | |
| US9268944B2 (en) | System and method for sampling based source code security audit | |
| CN115827610A (zh) | 一种有效负荷的检测方法及装置 | |
| CN105335290A (zh) | 一种软件安全测试方法 | |
| CN106021113A (zh) | 一种精准测试的实现方法 | |
| Barabanov et al. | Russian it security certification scheme: Steps toward common criteria approach | |
| KR20180060616A (ko) | Rba기반 통합 취약점 진단 방법 | |
| CN107562808A (zh) | 一种异构双链自动化数据的验证方法 | |
| CN103399816A (zh) | 一种数据检查方法及装置 | |
| Adebiyi et al. | A neural network based security tool for analyzing software | |
| Keng | Automated testing and notification of mobile app privacy leak-cause behaviours | |
| TWI246844B (en) | Method for certificating a network identity | |
| Nikeshin et al. | Verification of security properties of the TLS 1.3 extensions | |
| Li | Conceptual framework for security testing, security risk analysis and their combinations | |
| Son et al. | A software weakness analysis technique for secure software | |
| Lee et al. | Information technology security evaluation using CERT c secure coding standard | |
| Shahriar et al. | LDAP vulnerability detection in Web applications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160217 |
|
| RJ01 | Rejection of invention patent application after publication |