應用軟件安全測試
多年以來,有兩點我(wǒ)(wǒ)可以确定:一(yī)是對于高保障性(high assurance)軟件的社會需求呈不斷增長的态勢;二是市場從來就不會提供這樣的軟件。——Earl Boebert
對安全而言,開(kāi)源是一(yī)件好事,因爲這種方式可以防止你違反科克霍夫法則——Eric Raymond
在以前的單機時代,安全問題主要是操作系統容易感染病毒,單機應用程序軟件安全問題并不突出。但是自從互聯網普及後,軟件安全問題愈加突顯,使得軟件安全性測試的重要性上升到一(yī)個前所未有的高度。 軟件安全性是一(yī)個廣泛而複雜(zá)的主題,每一(yī)個新的軟件總可能有不符合所有已知(zhī)模式的新型安全性缺陷出現。近年來, 類似于CSDN、天涯網大(dà)規模用戶信息洩露的安全事件時有發生(shēng),這些安全事件的根本原因是應用軟件自身存在軟件安全漏洞。如果應用系統能夠在上線之初就能夠執行專業的Web應用上線測試服務,很多安全問題就能夠消滅在萌芽中(zhōng)。
服務介紹:
海峽信息建立起應用安全研究團隊,專注于應用軟件安全方面的漏洞研究、攻防研究和代碼加固研究,并通過深入研究來自于微軟的“軟件安全開(kāi)發生(shēng)命周期”流程,提出了海峽信息應用軟件安全開(kāi)發生(shēng)命周期解決方案,如下(xià)圖所示:
海峽信息“應用上線測試”服務采用了黑盒與白(bái)盒測試技術相結合服務模式,旨在針對“電子政務、電子商(shāng)務”重要應用應用系統的應用安全展開(kāi)全面的安全測試,該測試參照國際開(kāi)放(fàng)Web應用安全組織(OWASP)相關規範并結合海峽信息多年的最佳實踐經驗,可以在應用系統上線前或運行中(zhōng)展開(kāi)安全測試。