國家標準GB/T34944-2017標準名為《Java語言源代碼漏洞測試規(guī)范》。它是我國首個針對Java語言源代碼安全檢測的國家標準，于2017年11月1日發(fā)布，2018年5月1日正式實施。該標準包含九大漏洞類型，涵蓋44類具體漏洞問題，適用于開發(fā)方和第三方機構(gòu)開展靜態(tài)分析、動態(tài)分析和混合分析等測試活動，它旨在確保軟件的安全性，從而增強用戶的信任。

一、源代碼漏洞測試的目的

1、發(fā)現(xiàn)、定位及解決軟件源代碼中的漏洞；

2、為軟件產(chǎn)品的安全性測量和評價提供依據(jù)。

二、測試依據(jù)

GB/T34944-2017《Java語言源代碼漏洞測試規(guī)范》 

三、源代碼漏洞測試內(nèi)容

1、行為問題：由于應(yīng)用程序的以外行為而引發(fā)的漏洞；

2、路徑錯誤：不恰當(dāng)?shù)奶幚碓L問路徑而引發(fā)的漏洞；

3、數(shù)據(jù)處理：處理數(shù)據(jù)的功能中發(fā)現(xiàn)的漏洞。

4、處理程序錯誤：由于處理程序的管理不當(dāng)而引發(fā)的漏洞。

5、不充分的封裝：未充分封裝關(guān)鍵數(shù)據(jù)或功能而引發(fā)的漏洞。

6、安全功能：軟件安全功能如身份鑒別、訪問控制、機密性、密碼學(xué)和特權(quán)管理等相關(guān)的漏洞。

7、時間和狀態(tài)：在多系統(tǒng)、進程或線程并發(fā)計算的環(huán)境下由于時間和狀態(tài)管理不恰當(dāng)而引發(fā)的漏洞。

8、Web問題：Web技術(shù)相關(guān)的漏洞。

9、用戶界面錯誤：與用戶界面相關(guān)的漏洞。

四、源代碼測試過程的四個階段

測試策劃、測試設(shè)計、測試執(zhí)行、測試總結(jié)。

五、測試方法

該測試首先采用自動化靜態(tài)分析工具對被測源代碼進行漏洞掃描，然后人工分析自動化靜態(tài)分析工具的掃描結(jié)果，篩出誤報的源代碼漏洞。

六、源代碼漏洞測試工具

選擇源代碼漏洞測試工具應(yīng)首先明確GB/T15532一2008中4.8.2的要求，重點應(yīng)考慮工具的漏報率和誤報率，可通過調(diào)查或比較的方式評估工具的漏報率和誤報率。選擇的源代碼漏洞測試工具應(yīng)覆蓋但不限于本標準的源代碼漏洞測試內(nèi)容，測試前應(yīng)對工具的漏洞規(guī)則庫和測試引擎進行必要的升級和維護。

在數(shù)字化轉(zhuǎn)型的浪潮中，軟件已成為推動社會與企業(yè)發(fā)展的核心力量。然而，軟件質(zhì)量問題頻發(fā)，故障、漏洞不斷，給企業(yè)和用戶帶來了極大的困擾與損失。我方軟件測評中心CNAS軟件測試實驗室通過專業(yè)的軟件測試服務(wù)，為保障軟件質(zhì)量、助力企業(yè)發(fā)展保駕護航！若您正在尋找一家值得信賴的第三方軟件測試服務(wù)提供商，不妨聯(lián)系我們。

檢測試驗找彭工136-9109-3503。