應(yīng)用軟件安全測(cè)試
多年以來(lái),有兩點(diǎn)我可以確定:一是對(duì)于高保障性(high assurance)軟件的社會(huì)需求呈不斷增長(zhǎng)的態(tài)勢(shì);二是市場(chǎng)從來(lái)就不會(huì)提供這樣的軟件。——Earl Boebert
對(duì)安全而言,開(kāi)源是一件好事,因?yàn)檫@種方式可以防止你違反科克霍夫法則——Eric Raymond
在以前的單機(jī)時(shí)代,安全問(wèn)題主要是操作系統(tǒng)容易感染病毒,單機(jī)應(yīng)用程序軟件安全問(wèn)題并不突出。但是自從互聯(lián)網(wǎng)普及后,軟件安全問(wèn)題愈加突顯,使得軟件安全性測(cè)試的重要性上升到一個(gè)前所未有的高度。 軟件安全性是一個(gè)廣泛而復(fù)雜的主題,每一個(gè)新的軟件總可能有不符合所有已知模式的新型安全性缺陷出現(xiàn)。近年來(lái), 類似于CSDN、天涯網(wǎng)大規(guī)模用戶信息泄露的安全事件時(shí)有發(fā)生,這些安全事件的根本原因是應(yīng)用軟件自身存在軟件安全漏洞。如果應(yīng)用系統(tǒng)能夠在上線之初就能夠執(zhí)行專業(yè)的Web應(yīng)用上線測(cè)試服務(wù),很多安全問(wèn)題就能夠消滅在萌芽中。
服務(wù)介紹:
海峽信息建立起應(yīng)用安全研究團(tuán)隊(duì),專注于應(yīng)用軟件安全方面的漏洞研究、攻防研究和代碼加固研究,并通過(guò)深入研究來(lái)自于微軟的“軟件安全開(kāi)發(fā)生命周期”流程,提出了海峽信息應(yīng)用軟件安全開(kāi)發(fā)生命周期解決方案,如下圖所示:
海峽信息“應(yīng)用上線測(cè)試”服務(wù)采用了黑盒與白盒測(cè)試技術(shù)相結(jié)合服務(wù)模式,旨在針對(duì)“電子政務(wù)、電子商務(wù)”重要應(yīng)用應(yīng)用系統(tǒng)的應(yīng)用安全展開(kāi)全面的安全測(cè)試,該測(cè)試參照國(guó)際開(kāi)放Web應(yīng)用安全組織(OWASP)相關(guān)規(guī)范并結(jié)合海峽信息多年的最佳實(shí)踐經(jīng)驗(yàn),可以在應(yīng)用系統(tǒng)上線前或運(yùn)行中展開(kāi)安全測(cè)試。