软件开发安全,是网络安全行业近年想积极探索的技术领域,虽然这个技术领域已经存在了将近20年时间,但是直到2020年2月的RSAC大会,开发安全才真正成为网络安全行业的关注热点。同样,2019年12月1日正式实施的《网络安全等级保护条例2.0版》也给软件开发安全领域注入了一针“强心剂”,业界和政策对“安全左移”和DevSecOps的空前重视让无数网络安全从业者看到了新的机会。
笔者团队通过对软件开发安全的认知和对软件安全测试的摸索,并结合行业主流的软件安全测试技术进行了实践。本文根据笔者团队的实践经验为大家分析有关软件安全测试的实践收获。
韩敏
现任国网思极检测技术(北京)有限公司执行董事、总经理。软件工程工程硕士,国网公司办公自动化系统业务方向信息化资深专家、中国电力科学研究院先进工作者、“茶杯式脱敏理论”提出者、“思极风”系列产品创始人。
1.当前软件安全测试的五大痛点
随着DevOps方式的普及,软件开发正向着“快速迭代、快速开发、快速交付”的方式发展、提供业务支撑,开发团队也不断平衡和融合开发、测试与业务之间的关系。但是,软件安全测试仍存在如下典型问题。
(1)开发迭代周期短,难以做到每个版本迭代执行安全测试;
(2)开发人员和测试人员通常缺乏应用安全知识,网络安全人员不懂软件开发,双方较难建立起沟通语言;
(3)主流采用的软件安全测试仍为渗透测试,难以在研发过程中体系化检测代码级和功能级缺陷;
(4)基于代码审计的安全检测普遍存在误报和漏报,需人工复合;
(5)无法准确掌握软件所使用开源组件的资产使用情况和安全漏洞情况。
2.软件安全测试的主要思路
理论上来讲,软件安全测试是从安全的视角对软件的安全质量进行审核的过程,主要包括:
(1)确认软件的安全功能十分满足安全设计要求;
(2)识别软件自身存在的设计缺陷、错误编码和运行故障;
(3)评估软件的其他质量属性,包括可靠性、可扩展性、可恢复性等。
其中,软件自身漏洞识
最低0.47元/天 解锁文章
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
