應用(yòng)軟件安(ān)全測試

多(duō)年以來，有(yǒu)兩點我可(kě)以确定：一是對于高保障性（high assurance）軟件的社會需求呈不斷增長(cháng)的态勢；二是市場從來就不會提供這樣的軟件。——Earl Boebert

對安(ān)全而言，開源是一件好事，因為(wèi)這種方式可(kě)以防止你違反科(kē)克霍夫法則——Eric Raymond

在以前的單機時代，安(ān)全問題主要是操作(zuò)系統容易感染病毒，單機應用(yòng)程序軟件安(ān)全問題并不突出。但是自從互聯網普及後，軟件安(ān)全問題愈加突顯，使得軟件安(ān)全性測試的重要性上升到一個前所未有(yǒu)的高度。 軟件安(ān)全性是一個廣泛而複雜的主題，每一個新(xīn)的軟件總可(kě)能(néng)有(yǒu)不符合所有(yǒu)已知模式的新(xīn)型安(ān)全性缺陷出現。近年來， 類似于CSDN、天涯網大規模用(yòng)戶信息洩露的安(ān)全事件時有(yǒu)發生，這些安(ān)全事件的根本原因是應用(yòng)軟件自身存在軟件安(ān)全漏洞。如果應用(yòng)系統能(néng)夠在上線(xiàn)之初就能(néng)夠執行專業的Web應用(yòng)上線(xiàn)測試服務(wù)，很(hěn)多(duō)安(ān)全問題就能(néng)夠消滅在萌芽中(zhōng)。

服務(wù)介紹：

海峽信息建立起應用(yòng)安(ān)全研究團隊，專注于應用(yòng)軟件安(ān)全方面的漏洞研究、攻防研究和代碼加固研究，并通過深入研究來自于微軟的“軟件安(ān)全開發生命周期”流程，提出了海峽信息應用(yòng)軟件安(ān)全開發生命周期解決方案，如下圖所示：

海峽信息“應用(yòng)上線(xiàn)測試”服務(wù)采用(yòng)了黑盒與白盒測試技(jì )術相結合服務(wù)模式，旨在針對“電(diàn)子政務(wù)、電(diàn)子商(shāng)務(wù)”重要應用(yòng)應用(yòng)系統的應用(yòng)安(ān)全展開全面的安(ān)全測試，該測試參照國(guó)際開放Web應用(yòng)安(ān)全組織（OWASP）相關規範并結合海峽信息多(duō)年的最佳實踐經驗，可(kě)以在應用(yòng)系統上線(xiàn)前或運行中(zhōng)展開安(ān)全測試。