試析軟件開(kāi)發(fā)生命周期各階段的應用軟件安全性測試

　　論文關(guān)鍵詞：網(wǎng)絡(luò )應用軟件　軟件開(kāi)發(fā)生命周期OSD動(dòng)　安全性測試　項目設計　單元測試　集成測試　驗收側試

　　論文摘要:文章論述了軟件開(kāi)發(fā)生命周期中每個(gè)階段添加的一系列關(guān)泣安全性的活動(dòng)，提出將安奮瀏試整合到軟件開(kāi)發(fā)生命周期中，分析了軟件安全性瀏試片祠試人員的要求，并以一個(gè)SQL注入實(shí)例來(lái)具體說(shuō)明安全性瀏試在軟。

　　信息網(wǎng)絡(luò )安全事件發(fā)生比例的不斷攀升、病毒利用軟件漏洞猖狂地傳播使得人們越發(fā)認識到信息安全的重要性。一般認為，傳統的信息安全技術(shù)可以借助防火墻(包括軟件和硬件防火墻)審核通過(guò)網(wǎng)絡(luò )的報文、限定用戶(hù)的訪(fǎng)問(wèn)權限等來(lái)防止非授權用戶(hù)對重要數據的訪(fǎng)問(wèn)，但是這一觀(guān)點(diǎn)是建立在軟件安全基礎上的。網(wǎng)絡(luò )應用軟件需要暴露在網(wǎng)絡(luò )環(huán)境下，并且授權外部用戶(hù)可以透過(guò)網(wǎng)絡(luò )來(lái)訪(fǎng)問(wèn)此軟件。通過(guò)網(wǎng)絡(luò )，攻擊者有機會(huì )接觸到軟件，如果軟件本身存在漏洞，那么所有的防火墻就形同虛設。暴露于網(wǎng)絡(luò )的應用軟件往往成為被攻擊的目標，是網(wǎng)絡(luò )應用軟件安全的重災區。美國國家標準與技術(shù)研究院(NIST)2002年的一項研究表明，美國花費在軟件缺陷方面的費用達到595億美元。公安部2008年全國信息網(wǎng)絡(luò )安全狀況與計算機病毒疫情調查分析報b說(shuō)明，在發(fā)生的安全事件中，未修補或防范軟件漏洞仍然是導致安全事件發(fā)生的最主要原因。

　　1安全測試的定義

安全測試是鑒別信息系統數據保護和功能維護的過(guò)程。安全測試需要涵蓋的6個(gè)基本安全概念是:保密性、完整性、權限(身份驗證)、授權(權限分配)、可提供性、不可抵賴(lài)性陰。軟件開(kāi)發(fā)商都存在解決安全威脅方古的問(wèn)題。對軟件開(kāi)發(fā)商來(lái)說(shuō)，安全性是其核心要求，這是由市場(chǎng)力量所驅動(dòng)，也是由保護關(guān)鍵基礎結構及建立和保持計算的廣泛信任的需要所決定的。所有軟件開(kāi)發(fā)商面對的一個(gè)主要挑戰就是創(chuàng )建更加安全的軟件，使其不需要頻繁地通過(guò)修補程序進(jìn)行更新。軟件安全已經(jīng)成為評判軟件質(zhì)量的一個(gè)重要標準，軟件安全測試則成為保證軟件產(chǎn)品能夠符合這一標準的重要手段。軟件的安全性測試主要是測試在正常和非正常情況下，軟件能否對數據進(jìn)行安全有效的操作。

　　2軟件開(kāi)發(fā)生命周期流程(參見(jiàn)圖1)

對于軟件行業(yè)來(lái)說(shuō)，要滿(mǎn)足當今提升安全性的需要，軟件供應商必須轉為采用一種更嚴格的、更加關(guān)注安全性的軟件開(kāi)發(fā)流程。這種流程旨在盡量減少設計、編碼和文檔編寫(xiě)過(guò)程中存在的漏洞，并在軟件開(kāi)發(fā)生命周期中盡可能早地檢測到并消除這些漏洞。用于處理來(lái)自Internet的輸人、控制可能被攻擊的關(guān)鍵系統或處理個(gè)人身份信息的企業(yè)和消費者軟件最需要實(shí)施這種流程。在很多實(shí)際的軟件開(kāi)發(fā)項目中，安全測試已經(jīng)成為SDL一個(gè)不可或缺的組成部分，并成為整個(gè)項目過(guò)程中的長(cháng)期任務(wù)。黑盒一白盒測試方法往往執行在產(chǎn)品遞交客戶(hù)之前，但有的甚至在投人使用之后都未進(jìn)行安全檢測和風(fēng)險評估;在一些安全性要求較高的項目中，雖然將安全風(fēng)險評估納人預算，但在實(shí)際操作中卻對其并未作過(guò)多考慮。這樣，所導致的直接后果是在開(kāi)發(fā)工作幾近完成的情況下進(jìn)行問(wèn)題分析處理所造成的成本將遠遠大于在軟件開(kāi)發(fā)階段進(jìn)行缺陷修改的成本。即便是從充分利用現有的有限資金和資源的角度來(lái)考慮，也有必要將安全測試囊括到SDL中。這樣做雖然不能取代軟件開(kāi)發(fā)后期的滲透測試和脆弱性測試，卻可以有效減少后者在施過(guò)程中的投人。

[1][2][3][4]下一頁(yè)

【試析軟件開(kāi)發(fā)生命周期各階段的應用軟件安全性測試】相關(guān)文章：

試析張承志“后《心靈史》”階段創(chuàng )作中的幾個(gè)主題03-18

在產(chǎn)品生命周期不同階段廣告訴求策略的表現和應用01-01

試析英語(yǔ)教學(xué)的三個(gè)階段-英語(yǔ)教學(xué)論文03-19

產(chǎn)品生命周期各階段績(jì)效評價(jià)研究-以制造業(yè)企業(yè)為例03-25

試析當議現階段私營(yíng)經(jīng)濟中剝削存在的客觀(guān)必然性03-07

CAD應用軟件的新動(dòng)態(tài)03-18

了中藥安全性的思考12-20

企業(yè)在生命周期各階段的財務(wù)特征與財務(wù)戰略論文（通用12篇）12-24

基于生命周期的客戶(hù)價(jià)值分析03-20

生命周期廣告策略的分析論文02-13