產品詳情
尊敬的客戶,您好,非常榮幸為您提供專業的軟件測試服務,儀綜所軟件測試中心具備國家實驗室資質CNAS和CMA認可資格,提供專業測試服務,隨著軟件行業的不斷發展,各個行業對代碼安全層面的要求越來越重視,像電力、金融等行業都已經發展出了自己的行業標準。
國內代碼測試法規與標準主要有:
1、《中華人民共和國網絡安全法》;
2、《信息安全技術 網絡安全等級保護基本要求》GBTT22239-20193;
3、《C/C++語言源代碼漏洞測試規范》GB/T 34943-20174;
4、《Java語言源代碼漏洞測試規范》GB/T 34944-20175;
5、《C#語言源代碼漏洞測試規范》GB/T 34946-2017。
C/C++語言源代碼漏洞測試規范》GB/T 34943-2017、《Java語言源代碼漏洞測試規范》GB/T 34944-2017和《C#語言源代碼漏洞測試規范》GB/T 34946-2017這三個標準有很多漏洞類型的交集。
GB/T 34944-2017 《Java語言源代碼漏洞測試規范》作為Java語言的測試規范,應用范圍非常廣泛。它當中的有44個類型的漏洞。區別于其他幾個的方面主要有可序列化的類、包含敏感數據、會話永不過期、關鍵參數篡改。
GB/T 34943-2017《C/C++語言源代碼洞測試規范》是第二個用得相對比較多的規范。
C/C++語言在客戶端的開發、嵌入式的軟件開發過程中經常用到。整個標準中一共有32個類型的漏洞。它特有的主要有:堆檢查、緩沖區溢出、使用外部控制的格式化字符串、敏感信息存儲于上鎖不正確的內存空間、公有函數返回私有數組和整數溢出。
源代碼漏洞測試過程標準中明確了源代碼測試過程分為測試策劃、測試設計、測試執行和測試總結四個階段。這個四個階段也是軟件測試通常用的步驟。先做策劃,要知道測試的目標,要測哪些語言,依據的標準,用什么工具,搭建什么樣的環境,還涉及到一些人員分工分工和各階段的交付成果。要按照GB/T15532-2008 這個規范來產生測試各個階段相應的一些文檔。設計階段的主要是根據測試的的目標結合被測軟件源代碼的業務和技術特點,明確環境和工具。比如說要測一段java源代碼,就要搭建相應的gdk,選擇能夠支持測試的工具。再有就是明確測試需求、測試方法和內容,以及測試準入條件和測試的準出條件。也就是說測到什么時候為止。這個也是有一定的行業實踐的。一般來講,把軟件當中工具發現的、人工挖掘到的高危的、中危的漏洞能夠測試出來,并且回歸完畢,作為一個關閉的節點,不可能無休止地測下去。
北京第三方軟件測試評估中心,提供軟件測試專業服務,具備專業的檢測技術服務團隊,提供CNAS和CMA檢測報告。
檢測試驗找彭工136-9109-3503。
國內代碼測試法規與標準主要有:
1、《中華人民共和國網絡安全法》;
2、《信息安全技術 網絡安全等級保護基本要求》GBTT22239-20193;
3、《C/C++語言源代碼漏洞測試規范》GB/T 34943-20174;
4、《Java語言源代碼漏洞測試規范》GB/T 34944-20175;
5、《C#語言源代碼漏洞測試規范》GB/T 34946-2017。
C/C++語言源代碼漏洞測試規范》GB/T 34943-2017、《Java語言源代碼漏洞測試規范》GB/T 34944-2017和《C#語言源代碼漏洞測試規范》GB/T 34946-2017這三個標準有很多漏洞類型的交集。
GB/T 34944-2017 《Java語言源代碼漏洞測試規范》作為Java語言的測試規范,應用范圍非常廣泛。它當中的有44個類型的漏洞。區別于其他幾個的方面主要有可序列化的類、包含敏感數據、會話永不過期、關鍵參數篡改。
GB/T 34943-2017《C/C++語言源代碼洞測試規范》是第二個用得相對比較多的規范。
C/C++語言在客戶端的開發、嵌入式的軟件開發過程中經常用到。整個標準中一共有32個類型的漏洞。它特有的主要有:堆檢查、緩沖區溢出、使用外部控制的格式化字符串、敏感信息存儲于上鎖不正確的內存空間、公有函數返回私有數組和整數溢出。
源代碼漏洞測試過程標準中明確了源代碼測試過程分為測試策劃、測試設計、測試執行和測試總結四個階段。這個四個階段也是軟件測試通常用的步驟。先做策劃,要知道測試的目標,要測哪些語言,依據的標準,用什么工具,搭建什么樣的環境,還涉及到一些人員分工分工和各階段的交付成果。要按照GB/T15532-2008 這個規范來產生測試各個階段相應的一些文檔。設計階段的主要是根據測試的的目標結合被測軟件源代碼的業務和技術特點,明確環境和工具。比如說要測一段java源代碼,就要搭建相應的gdk,選擇能夠支持測試的工具。再有就是明確測試需求、測試方法和內容,以及測試準入條件和測試的準出條件。也就是說測到什么時候為止。這個也是有一定的行業實踐的。一般來講,把軟件當中工具發現的、人工挖掘到的高危的、中危的漏洞能夠測試出來,并且回歸完畢,作為一個關閉的節點,不可能無休止地測下去。
北京第三方軟件測試評估中心,提供軟件測試專業服務,具備專業的檢測技術服務團隊,提供CNAS和CMA檢測報告。
檢測試驗找彭工136-9109-3503。
