軟件產(chǎn)品源代碼漏洞測試服務

尊敬的客戶，您好，非常榮幸為您提供專業(yè)的軟件測試服務，儀綜所軟件測試中心具備國家實驗室資質(zhì)CNAS和CMA認可資格，提供專業(yè)測試服務，隨著軟件行業(yè)的不斷發(fā)展，各個行業(yè)對代碼安全層面的要求越來越重視，像電力、金融等行業(yè)都已經(jīng)發(fā)展出了自己的行業(yè)標準。

國內(nèi)代碼測試法規(guī)與標準主要有：
1、《中華人民共和國網(wǎng)絡安全法》；
2、《信息安全技術(shù) 網(wǎng)絡安全等級保護基本要求》GBTT22239-20193；
3、《C/C++語言源代碼漏洞測試規(guī)范》GB/T 34943-20174；
4、《Java語言源代碼漏洞測試規(guī)范》GB/T 34944-20175；
5、《C#語言源代碼漏洞測試規(guī)范》GB/T 34946-2017。
C/C++語言源代碼漏洞測試規(guī)范》GB/T 34943-2017、《Java語言源代碼漏洞測試規(guī)范》GB/T 34944-2017和《C#語言源代碼漏洞測試規(guī)范》GB/T 34946-2017這三個標準有很多漏洞類型的交集。
GB/T 34944-2017 《Java語言源代碼漏洞測試規(guī)范》作為Java語言的測試規(guī)范，應用范圍非常廣泛。它當中的有44個類型的漏洞。區(qū)別于其他幾個的方面主要有可序列化的類、包含敏感數(shù)據(jù)、會話永不過期、關(guān)鍵參數(shù)篡改。
GB/T 34943-2017《C/C++語言源代碼洞測試規(guī)范》是第二個用得相對比較多的規(guī)范。
C/C++語言在客戶端的開發(fā)、嵌入式的軟件開發(fā)過程中經(jīng)常用到。整個標準中一共有32個類型的漏洞。它特有的主要有：堆檢查、緩沖區(qū)溢出、使用外部控制的格式化字符串、敏感信息存儲于上鎖不正確的內(nèi)存空間、公有函數(shù)返回私有數(shù)組和整數(shù)溢出。
源代碼漏洞測試過程標準中明確了源代碼測試過程分為測試策劃、測試設(shè)計、測試執(zhí)行和測試總結(jié)四個階段。這個四個階段也是軟件測試通常用的步驟。先做策劃，要知道測試的目標，要測哪些語言，依據(jù)的標準，用什么工具，搭建什么樣的環(huán)境，還涉及到一些人員分工分工和各階段的交付成果。要按照GB/T15532-2008 這個規(guī)范來產(chǎn)生測試各個階段相應的一些文檔。設(shè)計階段的主要是根據(jù)測試的的目標結(jié)合被測軟件源代碼的業(yè)務和技術(shù)特點，明確環(huán)境和工具。比如說要測一段java源代碼，就要搭建相應的gdk，選擇能夠支持測試的工具。再有就是明確測試需求、測試方法和內(nèi)容，以及測試準入條件和測試的準出條件。也就是說測到什么時候為止。這個也是有一定的行業(yè)實踐的。一般來講，把軟件當中工具發(fā)現(xiàn)的、人工挖掘到的高危的、中危的漏洞能夠測試出來，并且回歸完畢，作為一個關(guān)閉的節(jié)點，不可能無休止地測下去。
北京第三方軟件測試評估中心，提供軟件測試專業(yè)服務，具備專業(yè)的檢測技術(shù)服務團隊，提供CNAS和CMA檢測報告。
檢測試驗找彭工136-9109-3503。