- 博客(84)
- 收藏
- 关注
RSS订阅原创 安全测试国家标准解读——并发程序安全
给大家举一个例子,有一个类,SimpleDateFormat(时间格式化),这个类就是线程不安全的,现在已经不建议使用了,在我们代码审计的过程中,这个类出现的频率还很高,很多单位和项目都还在用这个类。这个类是线程不安全的,如果你非要用的话,就必须是局部变量的使用,这样性能会比较差。其中,程序安全部分描述软件在资源使用、代码实现、安全功能方面的安全性规范,环境安全部分描述软件的安全管理配置规范。一方读的时候对方正在写,导致读的是之前的信息,这样这个订单就容易产生一些交易上的问题。
2023-07-31 17:00:00
998
原创 安全测试国家标准解读——函数调用安全、异常处理安全、指针安全
我们在做系统设计的时候,系统中的错误页面最好是做成统一的,出现问题后统一跳转我们提前做好的页面,不要直接暴露错误,像e.printStackTrace这种都是不允许的,因为这里面都有敏感信息。举一个例子,大家在写C、 C++语言的时候,输出格式会输出一些格式化的字符串,格式化的要求那块,不要来自不可信数据源,如果来自不可信数据源要进行验证,不要直接构造。例如直接报500错误,500错误中可能会直接出来一堆代码,包括数据库访问的一些语句都会出来,所以说这样是不安全的,这个也是要在设计之初就要做好考虑。
2023-07-31 08:51:51
1239
原创 安全测试国家标准解读——资源管理和内存管理
其中,程序安全部分描述软件在资源使用、代码实现、安全功能方面的安全性规范,环境安全部分描述软件的安全管理配置规范。前面的文章为大家讲解了程序安全和代码安全,本文我们针对资源使用安全的资源管理和内存管理部分进行解读。我们对该标准中一些常见的漏洞进行了梳理,大家感兴趣的话可以自己去下载下来学习一下,里面有一些最佳实践是比较好的。(4)确保应用软件在使用资源后恰当地执行临时文件或辅助资源的清理,避免清理环节不完整。4.对外部资源,如下载的文件,进行完整性和发布源检测,确保外部资源的安全性。
2023-07-28 17:00:00
258
原创 安全测试国家标准解读——数据库管理和文件管理
比如说我们下载文件的时候,我们可能会给用户一个下载链接,黑客可以通过这个链接直接到了目录的层级,把目录中的所有文件都看到了。这部分主要讲的数库的访问和连接,访问的时候,使用最低权限就可以了,连接的时候使用分配的角色就可以了,不要把SA的权限给系统。在访问的时候,尽量用我们预先设计好的路径让用户去选择、匹配,不要让用户自己输入,自己输入的话很容易产生目录遍历的漏洞。在用户层面,用户在访问自己信息的时候,只能访问到自己的这一行,不能再访问其他人的。(2)禁止依赖JAVA和.NET等的垃圾回收机制来回收资源。
2023-07-28 13:00:00
362
原创 GB/T 25000.51解读——软件产品的功能性怎么测?
前面的文章中,我们为大家整体介绍了GB/T 25000.51-2016《软件产品质量要求和测试细则》国家标准的结构和所涵盖的内容,从本文开始,我们将针对标准中规定的软件产品的八大质量特性进行详细解读。适合性:软件的各功能是否适合用户的要求,按照用户的预期来运行,是否只提供必要的功能操作步骤。5.3.1.2 ---在给定的限制范围内,用户文档集中涉及的所有功能都应是可执行的,限制包括业务规则的限制、字符串长度的限制、数字精度的限制、数据格式的限制等要求。依从性:软件的功能是否符合相关标准、法规的要求。
2023-07-27 17:00:00
253
原创 GB/T 25000.51解读——软件产品的性能效率怎么测?
在前面的文章中,我们为大家整体介绍了GB/T 25000.51-2016《软件产品质量要求和测试细则》国家标准的结构和所涵盖的内容以及对软件产品的八大质量特性中的功能性进行了详细解读。指的是产品或系统参数的最大限量满足需求的程度。软件的最大容量是否符合预期的要求,包括软件所能支撑的最大并发用户数、可存储的最大数据量、数据处理容量、最大的交易吞吐量等。指的是时间特性指的是产品或系统执行其功能时,所使用资源数量和类型满足需求的程度。指的是产品或系统执行其功能时,其响应时间、处理时间及吞吐率满足需求的程度。
2023-07-27 13:00:00
340
原创 GB/T 25000.51解读——软件产品的兼容性怎么测?
在前面的文章中,我们为大家整体介绍了GB/T 25000.51-2016《软件产品质量要求和测试细则》国家标准的结构和所涵盖的内容以及对软件产品的八大质量特性中的功能性和性能效率进行了详细解读。软件产品的兼容性测试指的是在共享相同的硬件或软件环境的条件下,产品、系统或组件能够与其他产品、系统或组件交换信息,和/或执行其所需要的功能的程度。5.3.3.1 --如果用户能够安装软件产品,则应能遵循安装文档的指导,如设置平台或系统环境参数等,使得RUSP的已安装组件能够兼容当前的安装环境。
2023-07-26 17:00:00
345
原创 GB/T 25000.51解读——软件产品的易用性怎么测?
如B/S结构的软件,由于网速问题使用户的请求无法得到响应时,会有一个连接超时的提示信息。易操作性指的是软件功能是否易于操作,操作是否可控,包括:消息明确,软件功能操作的提示信息、给用户传达的结果或指令消息明确,指导用户使用;5.3.4.2 ---RUSP的出错消息、提示信息、确认信息、警告和执行结果的反馈信息都应是易于理解的,如借助采用专业的术语,提供图形表示、背景信息、以及帮助功能等方式。5.3.4.4 ---软件提供的消息应是清晰、无歧义、易于理解的,这里的消息包括确认消息、询问、警告、出错信息等。
2023-07-26 13:00:00
360
1
原创 GB/T 25000.51解读——软件产品的可靠性怎么测?
通俗讲就是软件在遇到软硬件故障时,有相应的容错措施来避免软件运行失效,包括:硬件故障,如,服务器宕机、断电、断网等,硬件故障恢复后,软件不能出现运行失效现象;5.3.5.2 ---RUSP对引起系统失效或数据丢失等差错的处置,应与用户文档集和产品说明一致,如用户文档集所述的因系统长时间无响应进行中止操作时,提供数据恢复功能,以防止数据丢失。依从性指产品或系统遵循与可靠相关的标准、约定或法规以及类似规定的程度,也就是软件的功能是否符合相关标准、法规对可靠性方面的要求。(谢绝转载,更多内容可查看我的主页)
2023-07-25 17:00:00
529
原创 GB/T 25000.51解读——软件产品的信息安全性怎么测?
也就是软件的数据是否只有被授权的用户进行访问,包括:访问控制性,设置访问控制矩阵,控制用户对信息或数据的访问;可以这么理解:软件的功能操作是否可以被唯一的追溯,包括:用户操作日志,软件是否按照需求对用户功能操作进行了日志记录,且日志记录信息是否齐全,包括事件日期、时间、发起者信息、类型、描述和结果等。信息安全性指的是产品或系统保护信息和数据的程度,以使用户、其他产品或系统具有与其授权类型和授权级别一致的数据访问度,主要体现在以下几个方面:保密性、完整性、抗抵赖性、可核查性、真实性、依从性。
2023-07-25 13:00:00
508
原创 GB/T 25000.51解读——软件产品的维护性怎么测?
通俗地讲,指的是软件在出现运行失效,或被修改时,是否易于诊断分析缺陷或修改的有效性,包括:日志信息,针对软件被修改或运行出现错误时,给出相应的日志信息,便于识别修改的有效性和出现错误的原因。易分析性:可以评估预期变更(变更产品或系统的一个或多个部分)对产品或系统的影响、诊断产品的缺陷或失效原因、识别待修改部分的有效性和效率的程度。软件产品的维护性指的是产品或系统能够被预期的维护人员修改的有效性和效率的程度,主要包含:模块化、可重用性、易分析性、易修改性、易测试性、依从性,六大部分。对业务流程进行修改。
2023-07-24 17:00:00
360
原创 GB/T 25000.51解读——软件产品的可移植性怎么测?
在前面的文章中,我们为大家整体介绍了GB/T 25000.51-2016《软件产品质量要求和测试细则》国家标准的结构和所涵盖的内容以及对软件产品的八大质量特性中的功能性、性能效率、易用性、兼容性、可靠性、信息安全性和维护性进行了详细解读。我们通俗一点讲,适应性就是软件是否可移植到其它硬件、软件环境中运行,包括:产品或系统适应软硬件变化的能力,包括硬件环境、操作系统、数据库管理系统、浏览器、支撑软件的适应性。软件的适应性:不同的操作系统类型和版本、不同的数据库类型和版本、不同的浏览器和版本等。
2023-07-24 13:00:00
257
原创 性能测试工具LoadRunner操作手册之动作与事务(下)
该部分我们主要从:1)在一个虚拟用户脚本中创建多个 LoadRunner Actions、2)配置 LoadRunner Actions 以达到负载测试的目标、3)LoadRunner 事务的功能说明、4)插入 LoadRunner 事务来测量业务流程的响应时间这四部分进行展开。这里的权重(Weighting)指的是 Run-time settings 里面的一个设置,对于随机运行内部Actions 的 Actions 块,可以设置块内每个 Action 的运行百分比。• 为事务取一个有意义的名字。
2023-07-21 17:00:00
58
原创 性能测试工具LoadRunner操作手册之动作与事务(上)
LoadRunner的使用环节大致分为性能测试脚本录制、创建和配置性能测试场景、运行性能测试场景和性能测试结果分析这几个环节。前面的文章中我们为大家讲解了LoadRunner的脚本录制和脚本回放,本文我们主要为大家讲解性能测试工具LoadRunner的动作与事务。首先, 在一个脚本中使用多个 Action 可以更好地模拟用户的真实操作。与此同时,在一个脚本中使用多个 Action 还可以单独地录制登录系统和退出系统的步骤。Action指一个虚拟脚本中的一组已录制的用户动作。
2023-07-21 13:00:00
115
原创 软件测试实验室如何建立样品管理和处置程序
样品是指委托方提供的用来检验/检测的产品、文件、过程、场地及其组合,是实验室软件测试体系中的重要组成部分。对样品的管理是贯穿软件检测实验室质量管理体系的重要内容,本文我们就一起来探讨一下,软件测试实验室如何建立样品管理和处置程序。样品管理和处置程序主要是对检验/检测样品的接收、传递、保存和处置等工作过程进行规定,以便实验室可以对样品进行妥善管理,确保检验/检测工作顺利进行。软件测试实验室样品管理和处置程序主要由人员职责、样品的标识、样品的接收、样品的传递以及样品的管理这几大部分组成。
2023-07-20 16:00:00
74
原创 性能测试需求分析怎么做?(下)
本系列文章我们为大家系统地介绍一下性能测试需求分析,让大家全面掌握性能测试的第一个环节。我们可以分析被测试系统在用户方纵向横向坐标、分析系统潜在的性能风险、分析系统相关方对于测试的职责、分析系统建设中影响测试的问题以及分析测试准备难点和周期来分析测试需求。系统自身信息分析方法:分析业务压力导致的性能瓶颈、分析用户压力导致的性能瓶颈、分析技术设计或实现导致的性能瓶颈、分析系统部署或安全设备导致的性能瓶颈。性能测试需求分析的方法分为两个大的方面,一个是性能测试需求的采集方法,一个是性能测试需求的信息分析方法。
2023-07-20 13:00:00
46
原创 性能测试需求分析怎么做?(中)
梳理性能测试需求分析包含的内容,我们需要去了解信息系统建设的背景信息、信息系统的自身信息、信息系统性能建设的目标以及性能测试工作要求,这些信息决定了我们需求分析的内容。还需要了解信息系统性能建设目标:系统业务时间类要求、系统资源类要求、系统业务处理效率类要求、系统容量类要求、系统可靠性、安全性、易用性要求。系统部署架构:系统网络拓扑、系统服务器硬件部署信息、系统基础软件部署信息、系统应用软件部署信息。系统用户信息:系统总用户量、系统在线用户量、系统并发用户量、系统关键业务用户量。
2023-07-19 18:00:00
979
原创 性能测试需求分析怎么做?(上)
性能测试需求分析与功能测试需求分析的区别主要有以下几点:功能测试需求分析的核心对象是应用程序及系统业务;系统开发需求分析是将用户角度的系统业务要求转化为系统开发人员角度的需求分析文档;系统测试需求分析建立在系统开发需求分析的基础上。广义的系统性能还需要考虑系统的可靠性、安全性、易用性、扩展性等, 这些质量特性会对系统处理效率、系统资源带来影响,系统性能测试的 目的是在各种质量特性之间寻找最佳平衡点。系统测试需求分析,不仅包含用户业务,还包含按照系统开发需求分析后续工作产物包括系统设计产物、系统编码产物等。
2023-07-19 13:00:00
207
原创 代码测试工具Fortify介绍及实操演示(下)
ReportGenerator -format pdf -f <my_report>.pdf -source <my_results>.fpr<my_report>.pdf为命名的PDF格式测试报告名称,<my_results>.fpr为测试结果文件名称。①代码编译在代码测试执行前,首先需要进行C/C++程序代码的编译,如下面的示例:gcc -I. -o hello.o -c helloworld.c通过gcc编译器将代码进行编译。(f) 针对Objective-C项目,需要保证头文件能够被获取。
2023-07-18 16:00:00
197
原创 代码测试工具Fortify最新版本介绍及实操
代码测试工具是安全测试、代码审计中经常会用到的一款软件测试工具,支持超过27种语言,超过911,000个组件级API,覆盖810多个SAST漏洞分类。通过Fortify的安全编码规则库,可以定位漏洞根本原因,参考漏洞修复指南。Fortify现在已发布的最新版本是Fortify 22.1.0 版本,首先我们先一起来看一下最新版本与老版本相比有哪些新功能,然后再带大家一起了解一下这款代码审计工具的实操。
2023-07-18 13:00:00
384
原创 大数据测试之数据仓测试怎么做(下)
它出库的时候这张表的名字就变成了ods_order_info,到达我们的ods层,这层只是保存数据,并不做任何处理。明细数据会存到明细数据模型数据这边,模型这边要对这些数据进行一些汇总指标的处理。为大家介绍了从操作数据层,到DW层,再到汇总数据层,最后到维度层和数据应用层的整个流程。了解完一个互联网公司比较常见的数据框架,接下来的文章我们继续为大家讲解大数据测试的一些概念、方法以及质量标准,欢迎大家继续关注。前面的文章我们为大家介绍了一个常见的互联网大厂的数据仓的技术框架,也就是下面这张图所展示的内容。
2023-07-17 18:00:00
175
原创 大数据测试之数据仓测试怎么做(上)
数据仓库(Data Warehouse):一个面向主题的(Subject Oriented)、集成的 (Integrated)、相对稳定的(Non-Volatile)、反映历史变化的(Time Variant)数据集合,用于支持管理决策和信息的全局共享。DW层主要做两个事情,第一个是存储经过清洗和转换的数据,第二点就是可能会有一些公共的明细数据需要在这里做一个明细的模型,主要是做这两块。,它主要存储的是从业务操作系统抽取过来的数据,是保持不变的,在中通这边ODS层(操作数据层)一般会保留7天。
2023-07-17 13:00:00
303
原创 自动化测试面临的问题剖析
应该选择哪种脚本语言?因为我们的测试结果导出的格式不一样,要想归集所有部门自动化测试报告数据的时候,就需要根据不同的格式,写各种各样的脚本,去满足数据收集的需求。再就是之前我们公司内部运行了各种各样的平台,有些人用自己的开发电脑作为运行脚本的平台,因为各种各样的原因就会导致脚本运行的时候不稳定,大量脚本运行的时候没有办法做到相应的支撑。在些方面会花费很多的时间,于是我们就开始构想,能不能搭建一个统一的自动化测试平台,来解决这些问题,让我们自动化测试工程师能够专心地去写自动化测试脚本,不必被这些问题所干扰。
2023-07-14 18:00:00
161
原创 如何建立统一的自动化测试平台?
首先解决的是统一的框架,减少接入的框架的数量。这方面主要是对比之前选用的一些框架,比如说Appium在执行的时候它的架构模式是,会有一个server端来执行我们的脚本,所以在执行的时候需要从起的server端来执行中转、执行一些脚本的命令,所以它的运行效率上是有折扣的。之前有一些存量的Airtest 的脚本,为了方便团队更好地迁移过来,新的框架一定要支持Airtest 脚本。这部分是通过Allure这个框架来实现的,之所以选择这个框架,一个原因是它展示的内容比较丰富,另一个原因是它可以兼容Java脚本。
2023-07-14 13:30:00
205
原创 自动化测试工具大盘点
接下来给大家介绍一下Airtest,它是网易出品的一个工具,它的优点有:跨平台、IDE 支持、扩展性好(Python 支持)和Poco支持,可以通过更复杂的脚本去支持一些复杂的逻辑。最后给大家介绍一下Playwright,这个框架是微软开发的,它支持跨浏览器、跨平台,支持多语言,也支持移动端web页面的一些测试。比如图中所示,我们要写一个for循环的逻辑,它的代码量和复杂度比普通的Python或其他语言的脚本是有所提升的。缺点是只支持Node.js的脚本,对于很多人来说,学习一种新的语言也是有一定成本的。
2023-07-13 16:00:00
173
原创 安全测试方法介绍(下)渗透测试
渗透测试是通过模拟恶意攻击者攻击,来评估系统安全的一种评估方法,从攻击的角度测试软件系统是否安全。下图是渗透测试的测试流程:首先针对我们的业务系统会制定一个测试方案、确定测试的场景。下图是任意文件上传的漏洞,我们看到上传文件的时候,可以上传一个脚本文件,这个脚本文件还可以在这个网站中打开。这其中存在好几个问题,第一个是文件类型没有进行限制,第二个是用户上传文件的路径是不可以执行的,有的甚至都要求不可读。下图是渗透测试的一个漏洞说明,两个截图中的提示文字都是有问题的。为了防范黑客而做的测试。
2023-07-13 08:42:16
424
原创 安全测试方法介绍(上)静态源代码审查
下图是我之前做过的一个截图,这是一个XSS的攻击,通过源代码审查可以把注入点定位出来,我们可以看到这是从请求中获取了一个字段,经过一个数据流返回到了用户这边。静态源代码审查可以通过人工和工具相结合的方式对源代码的安全性进行测试,可以识别、跟踪和修复源代码中技术上和逻辑上的缺陷,比如软件安全漏洞、质量缺陷问题和业务逻辑问题等。在应用投产前,应由独立的安全团队对应用的安全性进行综合评估,一般会从两个层面进行开展,一方面是功能性安全测试,另一方面是对抗性安全测试。能有效的提高软件的可靠性和安全性。
2023-07-12 16:00:00
1005
原创 性能测试工具LoadRunne函数如何使用详解(下)
示例:Irs_create_socket("socket0","TCP","RemoteHost=127.0.0.1:5678",LrsLastArg);示例:web_reg_find("Text=Welcome","SaveCount=Welcome_Count",LAST);示例:web_find("find","RightOf=a","LeftOf=b","What=name",LAST);示例:web_add_header("User-Agent","Mercury Browser 1.0");
2023-07-12 08:47:24
254
原创 性能测试工具LoadRunne函数如何使用详解(上)
学习LoadRunner函数可以帮助软件测试工程师更好的阅读、调试及手工编写脚本,掌握LoadRunner函数是性能测试必不可少的一项重要技能,前面的文章中我们为大家盘点了LoadRunne常用的函数有哪些,本文我们继续为大家讲解这些函数怎样运用。Ir_convert_string_encoding:转换字符串(或参数)的编码格式。Ir_start_sub_transaction:标记子事务的开始。Ir_end_sub_transaction:标记子事务的结束。Ir_db_connect :连接数据库。
2023-07-11 13:00:00
254
原创 性能测试设计的内容和方法(下)
在(上)部分的文章中,我们为大家详细介绍了性能测试设计的内容,本文我们继续为大家讲解性能测试设计的方法。性能测试设计方法包含测试功能设计方法、测试用户设计方法、测试环境设计方法、测试数据设计方法、测试指标设计方法和测试场景设计方法。首先我们先来看测试功能的设计,测试功能的设计过程中,需要从业务与技术两个角度设计,覆盖系统所有潜在性能瓶颈。测试指标设计方法有:测试指标具体内容设计方法、测试指标来源设计方法以及测试指标采集工具选择方法。测试数据设计方法有:基础数据设计方法和测试脚本数据设计方法。
2023-07-11 08:39:27
59
原创 性能测试设计的内容和方法(上)
我们在做性能测试设计的时候,要站在用户角度设计:在用户体验要求、业务架构、业务场景等分析结果基础上去设计。同时还需要站在测试方角度设计:在业务场景、测试技术风险、技术储备风险、测试评价方法等分析结果基础上去设计。– 业务类指标评价方法:性能需求中对响应时间类、业务处理效率类指标的要求。– 优化建议负责方:度量类测试以系统开发方为主,诊断优化类测试以测试方为主。– 优化实施负责方:度量类、诊断类由系统开发方负责,优化类由测试方负责。– 优化类测试:在诊断类测试基础上加入性能优化工作。– 测试用户设计方法。
2023-07-10 13:30:00
62
原创 软件安全测试流程与方法分享(下)
安全是软件产品的一个重要特性,也是CNAS测试认证中非常重要的项目,本系列文章我们与大家分享软件安全测试的流程、方法以及软件测试工具等内容,帮助大家快速掌握软件安全测试。安全是软件产品的一个重要特性,也是CNAS测试认证中非常重要的项目,本系列文章我们与大家分享软件安全测试的流程、方法以及软件测试工具等内容,帮助大家快速掌握软件安全测试。根据对漏洞原理的理解,对测试工具的扫描结果进行分析:查看漏洞详情, 并根据原理进行验证,确认漏洞的有效性,排除误报漏洞。
2023-07-10 08:37:07
202
原创 软件安全测试流程与方法分享(中)
安全是软件产品的一个重要特性,安全测试也是软件测试重的一个重要类别,本系列文章我们与大家分享软件安全测试的流程、方法以及软件测试工具等内容,帮助大家快速了解软件安全测试体系。核查是否已修改默认账户的默认口令;业务安全主要针对业务运行的软、硬件平台(操作系统、数据库、中间件等),业务系统自身(软件或设备)和业务所提供的服务进行安全测试,保护业务系统免受安全威胁。依从性方面主要是验证系统是否符合相关标准规范的要求,可以按照相关标准规范的要求,设计针对性的测试用例,设计方法同安全性其它子特性的用例设计方法。
2023-07-07 13:30:00
301
原创 软件安全测试流程与方法分享(上)
软件产品安全测试的测试需求分析首先需要分析确定要测试的内容,包括身份鉴别、访问控制、数据安全、安全审计、漏洞扫描、接口安全、密码应用、抗抵赖性、个人信息保护、剩余信息保护、组件安全、业务安全、依从性这几个方面。与其他类型的测试一样,软件产品的安全测试同样也是主要有测试需求分析、测试用例设计和测试执行这三个方面,首先我们先来看一下软件安全测试的测试需求分析。最后我们还需要对敏感信息进行分析,不论系统对敏感信息是否有明确的安全要求,都需要分析系统所涉及到的所有敏感信息,包括登录信息、个人信息、支付信息等等。
2023-07-07 08:40:41
156
原创 《安全软件开发框架(SSDF) 1.1:降低软件漏洞风险的建议》解读(六)
安全软件开发框架SSDF是由美国国家标准与技术研究院发布的关于安全软件开发的一组实践,帮助开发组织减少发布的软件中的漏洞数量,减少利用未检测到或未解决的漏洞的潜在影响,从根本上解决漏洞防止再次发生。以上是安全软件开发框架(SSDF)1.1版本中的生产安全可靠的软件部分的全部内容,后面会继续为大家整理可靠软件生产部分和漏洞响应部分,欢迎大家继续关注。(谢绝转载,更多内容可查看我的主页)
2023-07-06 13:30:00
730
原创 《安全软件开发框架(SSDF) 1.1:降低软件漏洞风险的建议》解读(五)
安全软件开发框架SSDF是由美国国家标准与技术研究院发布的关于安全软件开发的一组实践,帮助开发组织减少发布的软件中的漏洞数量,减少利用未检测到或未解决的漏洞的潜在影响,从根本上解决漏洞防止再次发生。以上是安全软件开发框架(SSDF)1.1版本中的生产安全可靠的软件部分的上半部分,后面会继续为大家整理可靠软件生产部分和漏洞响应部分,欢迎大家继续关注。验证第三方软件符合安全要求(PW.3):移至PW.4。(谢绝转载,更多内容可查看我的专栏)
2023-07-06 08:41:07
81
原创 《安全软件开发框架(SSDF) 1.1:降低软件漏洞风险的建议》解读(四)
安全软件开发框架SSDF是由美国国家标准与技术研究院发布的关于安全软件开发的一组实践,帮助开发组织减少发布的软件中的漏洞数量,减少利用未检测到或未解决的漏洞的潜在影响,从根本上解决漏洞防止再次发生。以上是安全软件开发框架(SSDF)1.1版本中的软件保护部分的全部内容,后面会继续为大家整理可靠软件生产部分和漏洞响应部分,欢迎大家继续关注。(谢绝转载,更多内容可查看我的主页)
2023-07-05 13:00:00
704
原创 《安全软件开发框架(SSDF) 1.1:降低软件漏洞风险的建议》解读(三)
安全软件开发框架SSDF是由美国国家标准与技术研究院发布的关于安全软件开发的一组实践,帮助开发组织减少发布的软件中的漏洞数量,减少利用未检测到或未解决的漏洞的潜在影响,从根本上解决漏洞防止再次发生。以上是安全软件开发框架(SSDF)1.1版本中的组织准备部分的全部内容,后面会继续为大家整理软件保护部分、可靠软件生产部分和漏洞响应部分,欢迎大家继续关注。表1:安全软件开发框架(SSDF)1.1版本。(谢绝转载,更多内容可查看我的主页)
2023-07-05 08:54:27
119
原创 《安全软件开发框架(SSDF) 1.1:降低软件漏洞风险的建议》解读(二)
安全软件开发框架SSDF是由美国国家标准与技术研究院发布的关于安全软件开发的一组实践,帮助开发组织减少发布的软件中的漏洞数量,减少利用未检测到或未解决的漏洞的潜在影响,从根本上解决漏洞防止再次发生。环境的名称也是如此,比如“开发”、“构建”、“试运行”、“集成”、“测试”、“生产”和“发布”,这些名称在不同的组织和项目中也有很大的不同。4、应对漏洞(RV):组织应识别其软件版本中的残余漏洞,并做出适当的响应,解决这些漏洞,防止将来发生类似的漏洞。指向一个或多个已建立的安全开发实践文档以及到特定的任务。
2023-07-04 13:00:00
190
原创 《安全软件开发框架(SSDF) 1.1:降低软件漏洞风险的建议》解读(一)
无论使用哪种SDLC模型,都应该将安全软件开发实践集成到整个过程中,原因有三:减少发布的软件中的漏洞数量,减少利用未检测到或未解决的漏洞的潜在影响,以及解决漏洞的根本原因以防止再次发生。安全软件开发框架SSDF是由美国国家标准与技术研究院发布的关于安全软件开发的一组实践,帮助开发组织减少发布的软件中的漏洞数量,减少利用未检测到或未解决的漏洞的潜在影响,从根本上解决漏洞防止再次发生。本文档并不是介绍新的实践或定义新的术语,介绍的是基于已建立的标准、指南和安全软件开发实践文档基础上的的高级实践。
2023-07-04 08:51:47
255
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人