- 相關(guān)推薦
試析軟件開發(fā)生命周期各階段的應(yīng)用軟件安全性測試
論文關(guān)鍵詞:網(wǎng)絡(luò)應(yīng)用軟件 軟件開發(fā)生命周期OSD動 安全性測試 項目設(shè)計 單元測試 集成測試 驗收側(cè)試
論文摘要:文章論述了軟件開發(fā)生命周期中每個階段添加的一系列關(guān)泣安全性的活動,提出將安奮瀏試整合到軟件開發(fā)生命周期中,分析了軟件安全性瀏試片祠試人員的要求,并以一個SQL注入實例來具體說明安全性瀏試在軟。
信息網(wǎng)絡(luò)安全事件發(fā)生比例的不斷攀升、病毒利用軟件漏洞猖狂地傳播使得人們越發(fā)認識到信息安全的重要性。一般認為,傳統(tǒng)的信息安全技術(shù)可以借助防火墻(包括軟件和硬件防火墻)審核通過網(wǎng)絡(luò)的報文、限定用戶的訪問權(quán)限等來防止非授權(quán)用戶對重要數(shù)據(jù)的訪問,但是這一觀點是建立在軟件安全基礎(chǔ)上的。網(wǎng)絡(luò)應(yīng)用軟件需要暴露在網(wǎng)絡(luò)環(huán)境下,并且授權(quán)外部用戶可以透過網(wǎng)絡(luò)來訪問此軟件。通過網(wǎng)絡(luò),攻擊者有機會接觸到軟件,如果軟件本身存在漏洞,那么所有的防火墻就形同虛設(shè)。暴露于網(wǎng)絡(luò)的應(yīng)用軟件往往成為被攻擊的目標,是網(wǎng)絡(luò)應(yīng)用軟件安全的重災(zāi)區(qū)。美國國家標準與技術(shù)研究院(NIST)2002年的一項研究表明,美國花費在軟件缺陷方面的費用達到595億美元。公安部2008年全國信息網(wǎng)絡(luò)安全狀況與計算機病毒疫情調(diào)查分析報b說明,在發(fā)生的安全事件中,未修補或防范軟件漏洞仍然是導致安全事件發(fā)生的最主要原因。
1安全測試的定義
安全測試是鑒別信息系統(tǒng)數(shù)據(jù)保護和功能維護的過程。安全測試需要涵蓋的6個基本安全概念是:保密性、完整性、權(quán)限(身份驗證)、授權(quán)(權(quán)限分配)、可提供性、不可抵賴性陰。軟件開發(fā)商都存在解決安全威脅方古的問題。對軟件開發(fā)商來說,安全性是其核心要求,這是由市場力量所驅(qū)動,也是由保護關(guān)鍵基礎(chǔ)結(jié)構(gòu)及建立和保持計算的廣泛信任的需要所決定的。所有軟件開發(fā)商面對的一個主要挑戰(zhàn)就是創(chuàng)建更加安全的軟件,使其不需要頻繁地通過修補程序進行更新。軟件安全已經(jīng)成為評判軟件質(zhì)量的一個重要標準,軟件安全測試則成為保證軟件產(chǎn)品能夠符合這一標準的重要手段。軟件的安全性測試主要是測試在正常和非正常情況下,軟件能否對數(shù)據(jù)進行安全有效的操作。
2軟件開發(fā)生命周期流程(參見圖1)
對于軟件行業(yè)來說,要滿足當今提升安全性的需要,軟件供應(yīng)商必須轉(zhuǎn)為采用一種更嚴格的、更加關(guān)注安全性的軟件開發(fā)流程。這種流程旨在盡量減少設(shè)計、編碼和文檔編寫過程中存在的漏洞,并在軟件開發(fā)生命周期中盡可能早地檢測到并消除這些漏洞。用于處理來自Internet的輸人、控制可能被攻擊的關(guān)鍵系統(tǒng)或處理個人身份信息的企業(yè)和消費者軟件最需要實施這種流程。在很多實際的軟件開發(fā)項目中,安全測試已經(jīng)成為SDL一個不可或缺的組成部分,并成為整個項目過程中的長期任務(wù)。黑盒一白盒測試方法往往執(zhí)行在產(chǎn)品遞交客戶之前,但有的甚至在投人使用之后都未進行安全檢測和風險評估;在一些安全性要求較高的項目中,雖然將安全風險評估納人預算,但在實際操作中卻對其并未作過多考慮。這樣,所導致的直接后果是在開發(fā)工作幾近完成的情況下進行問題分析處理所造成的成本將遠遠大于在軟件開發(fā)階段進行缺陷修改的成本。即便是從充分利用現(xiàn)有的有限資金和資源的角度來考慮,也有必要將安全測試囊括到SDL中。這樣做雖然不能取代軟件開發(fā)后期的滲透測試和脆弱性測試,卻可以有效減少后者在施過程中的投人。
[1][2][3][4]下一頁
【試析軟件開發(fā)生命周期各階段的應(yīng)用軟件安全性測試】相關(guān)文章:
試析張承志“后《心靈史》”階段創(chuàng)作中的幾個主題03-18
在產(chǎn)品生命周期不同階段廣告訴求策略的表現(xiàn)和應(yīng)用01-01
試析英語教學的三個階段-英語教學論文03-19
產(chǎn)品生命周期各階段績效評價研究-以制造業(yè)企業(yè)為例03-25
試析當議現(xiàn)階段私營經(jīng)濟中剝削存在的客觀必然性03-07
了中藥安全性的思考12-20
企業(yè)在生命周期各階段的財務(wù)特征與財務(wù)戰(zhàn)略論文(通用12篇)12-24
基于生命周期的客戶價值分析03-20
生命周期廣告策略的分析論文02-13