試析軟件開(kāi)發(fā)生命周期各階段的應(yīng)用軟件安全性測(cè)試

試析軟件開(kāi)發(fā)生命周期各階段的應(yīng)用軟件安全性測(cè)試

　　論文關(guān)鍵詞：網(wǎng)絡(luò)應(yīng)用軟件　軟件開(kāi)發(fā)生命周期OSD動(dòng)　安全性測(cè)試　項(xiàng)目設(shè)計(jì)　單元測(cè)試　集成測(cè)試　驗(yàn)收側(cè)試

　　論文摘要:文章論述了軟件開(kāi)發(fā)生命周期中每個(gè)階段添加的一系列關(guān)泣安全性的活動(dòng)，提出將安奮瀏試整合到軟件開(kāi)發(fā)生命周期中，分析了軟件安全性瀏試片祠試人員的要求，并以一個(gè)SQL注入實(shí)例來(lái)具體說(shuō)明安全性瀏試在軟。

　　信息網(wǎng)絡(luò)安全事件發(fā)生比例的不斷攀升、病毒利用軟件漏洞猖狂地傳播使得人們?cè)桨l(fā)認(rèn)識(shí)到信息安全的重要性。一般認(rèn)為，傳統(tǒng)的信息安全技術(shù)可以借助防火墻(包括軟件和硬件防火墻)審核通過(guò)網(wǎng)絡(luò)的報(bào)文、限定用戶的訪問(wèn)權(quán)限等來(lái)防止非授權(quán)用戶對(duì)重要數(shù)據(jù)的訪問(wèn)，但是這一觀點(diǎn)是建立在軟件安全基礎(chǔ)上的。網(wǎng)絡(luò)應(yīng)用軟件需要暴露在網(wǎng)絡(luò)環(huán)境下，并且授權(quán)外部用戶可以透過(guò)網(wǎng)絡(luò)來(lái)訪問(wèn)此軟件。通過(guò)網(wǎng)絡(luò)，攻擊者有機(jī)會(huì)接觸到軟件，如果軟件本身存在漏洞，那么所有的防火墻就形同虛設(shè)。暴露于網(wǎng)絡(luò)的應(yīng)用軟件往往成為被攻擊的目標(biāo)，是網(wǎng)絡(luò)應(yīng)用軟件安全的重災(zāi)區(qū)。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)2002年的一項(xiàng)研究表明，美國(guó)花費(fèi)在軟件缺陷方面的費(fèi)用達(dá)到595億美元。公安部2008年全國(guó)信息網(wǎng)絡(luò)安全狀況與計(jì)算機(jī)病毒疫情調(diào)查分析報(bào)b說(shuō)明，在發(fā)生的安全事件中，未修補(bǔ)或防范軟件漏洞仍然是導(dǎo)致安全事件發(fā)生的最主要原因。

　　1安全測(cè)試的定義

安全測(cè)試是鑒別信息系統(tǒng)數(shù)據(jù)保護(hù)和功能維護(hù)的過(guò)程。安全測(cè)試需要涵蓋的6個(gè)基本安全概念是:保密性、完整性、權(quán)限(身份驗(yàn)證)、授權(quán)(權(quán)限分配)、可提供性、不可抵賴性陰。軟件開(kāi)發(fā)商都存在解決安全威脅方古的問(wèn)題。對(duì)軟件開(kāi)發(fā)商來(lái)說(shuō)，安全性是其核心要求，這是由市場(chǎng)力量所驅(qū)動(dòng)，也是由保護(hù)關(guān)鍵基礎(chǔ)結(jié)構(gòu)及建立和保持計(jì)算的廣泛信任的需要所決定的。所有軟件開(kāi)發(fā)商面對(duì)的一個(gè)主要挑戰(zhàn)就是創(chuàng)建更加安全的軟件，使其不需要頻繁地通過(guò)修補(bǔ)程序進(jìn)行更新。軟件安全已經(jīng)成為評(píng)判軟件質(zhì)量的一個(gè)重要標(biāo)準(zhǔn)，軟件安全測(cè)試則成為保證軟件產(chǎn)品能夠符合這一標(biāo)準(zhǔn)的重要手段。軟件的安全性測(cè)試主要是測(cè)試在正常和非正常情況下，軟件能否對(duì)數(shù)據(jù)進(jìn)行安全有效的操作。

　　2軟件開(kāi)發(fā)生命周期流程(參見(jiàn)圖1)

對(duì)于軟件行業(yè)來(lái)說(shuō)，要滿足當(dāng)今提升安全性的需要，軟件供應(yīng)商必須轉(zhuǎn)為采用一種更嚴(yán)格的、更加關(guān)注安全性的軟件開(kāi)發(fā)流程。這種流程旨在盡量減少設(shè)計(jì)、編碼和文檔編寫過(guò)程中存在的漏洞，并在軟件開(kāi)發(fā)生命周期中盡可能早地檢測(cè)到并消除這些漏洞。用于處理來(lái)自Internet的輸人、控制可能被攻擊的關(guān)鍵系統(tǒng)或處理個(gè)人身份信息的企業(yè)和消費(fèi)者軟件最需要實(shí)施這種流程。在很多實(shí)際的軟件開(kāi)發(fā)項(xiàng)目中，安全測(cè)試已經(jīng)成為SDL一個(gè)不可或缺的組成部分，并成為整個(gè)項(xiàng)目過(guò)程中的長(zhǎng)期任務(wù)。黑盒一白盒測(cè)試方法往往執(zhí)行在產(chǎn)品遞交客戶之前，但有的甚至在投人使用之后都未進(jìn)行安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估;在一些安全性要求較高的項(xiàng)目中，雖然將安全風(fēng)險(xiǎn)評(píng)估納人預(yù)算，但在實(shí)際操作中卻對(duì)其并未作過(guò)多考慮。這樣，所導(dǎo)致的直接后果是在開(kāi)發(fā)工作幾近完成的情況下進(jìn)行問(wèn)題分析處理所造成的成本將遠(yuǎn)遠(yuǎn)大于在軟件開(kāi)發(fā)階段進(jìn)行缺陷修改的成本。即便是從充分利用現(xiàn)有的有限資金和資源的角度來(lái)考慮，也有必要將安全測(cè)試囊括到SDL中。這樣做雖然不能取代軟件開(kāi)發(fā)后期的滲透測(cè)試和脆弱性測(cè)試，卻可以有效減少后者在施過(guò)程中的投人。

[1][2][3][4]下一頁(yè)

【試析軟件開(kāi)發(fā)生命周期各階段的應(yīng)用軟件安全性測(cè)試】相關(guān)文章：

試析張承志“后《心靈史》”階段創(chuàng)作中的幾個(gè)主題03-18

在產(chǎn)品生命周期不同階段廣告訴求策略的表現(xiàn)和應(yīng)用01-01

試析英語(yǔ)教學(xué)的三個(gè)階段-英語(yǔ)教學(xué)論文03-19

產(chǎn)品生命周期各階段績(jī)效評(píng)價(jià)研究-以制造業(yè)企業(yè)為例03-25

試析當(dāng)議現(xiàn)階段私營(yíng)經(jīng)濟(jì)中剝削存在的客觀必然性03-07

CAD應(yīng)用軟件的新動(dòng)態(tài)03-18

了中藥安全性的思考12-20

企業(yè)在生命周期各階段的財(cái)務(wù)特征與財(cái)務(wù)戰(zhàn)略論文（通用12篇）12-24

基于生命周期的客戶價(jià)值分析03-20

生命周期廣告策略的分析論文02-13