如果这篇文章对你有帮助,不妨点个关注,期待与你分享更多!
一、源代码漏洞测试总则
- 测试目的:发现、定位及解决软件源代码中的漏洞;为软件产品的安全性测量和评价提供依据。
- 测试过程:分为测试策划、测试设计、测试执行和测试总结四个阶段,各阶段有明确任务和要求。
- 测试管理:包括过程管理、过程评审和配置管理,明确各阶段任务要求、质量监督、风险及资源保障等。
- 测试工具:选择时考虑漏报率和误报率,应覆盖测试内容,测试前需升级维护漏洞规则库和测试引擎。
- 测试文档:一般包括测试计划、测试说明、测试日志和测试总结报告,可单独或合并出具。
二、源代码漏洞测试内容
- 漏洞分类:分为行为问题、路径错误、数据处理、处理程序错误、不充分的封装、安全功能、时间和状态、Web问题、用户界面错误9个类别。
- 漏洞说明:对9个类别下的不可控的内存分配、不可信的搜索路径等具体漏洞,分别从描述、风险、修复或规避建议及示例进行说明。