第六章 项目计划与控制



            就是其会受到软件自身多项副作用影响。比如：在非安全性测试中，原本要做 G，
            最终做成了 F；在安全性测试缺陷中，本应该做 G，但是在做完 G 的同时顺带做
            成了 F。
                 在软件安全测试中，主要涉及安全功能测试、安全漏洞测试。在软件安全
            漏洞中，需要在软件系统设计以及应用中，存有较多可被利用的漏洞。这样会导

            致较多不法分子对诸多软件漏洞不合理利用，会致使软件运用处于不安全的环境
            中。因此，在运用软件安全漏洞测试中，需要规范化整合软件中多项漏洞问题，
            做好合理修补。对安全需求合理把控，主要是提升多项数据机密性、完整性、可

            靠性、不可否认性。其中还涉及访问设置、追踪追查、身份认证、隐私保护等。
                 （三）软件安全性测试主要方法应用
                 1. 基于故障注入的安全性测试
                 故障注入的软件安全性测试中，相关技术人员需要基于各类协议数据包来
            植入不同的故障类型，这样能精确化测试出不同的目标软件能否对各类预制故障

            展开处理。在软件应用测试中，要实现各类软件与环境合理交互，将故障注入技
            术用于各类安全性故障测试。安全性故障测试操作是对协议中诸多数据合理修改，
            故障注入是基于故障注入函数，展开故障多重模拟，将程序强制性引入到不同状

            态中，当选取常规性故障测试技术将难以展开多向侦查。
                 2. 基于自盒的安全性测试
                 此项测试的重点是实现静态化分析，适用于不同数据竞争、缓冲区溢出等
            常见安全性缺陷代码模式。目前可用的主要有技术推断、约束性分析、数据流分
            析。在程序运行阶段为了能补充攻击性代码，以此来判断测试安全机制是否可用。

            在动态编译技术运用中来构建安全测试框架，这样能基于测试对程序运行中的各
            项攻击行为进行判断。
                 3. 攻击树理论与威胁模型

                 在安全性研究方法运用中主要能对运用方法实施划分，分别为基于漏洞以
            及各项安全威胁的实践方法。在漏洞处理中运用多类软件实现安全漏洞识别，以
            此来识别软件内部存有的各项安全漏洞，来提升软件整体安全性。在安全性威胁
            中是基于程序分解，对出口点、入口点、数据流实施精准化描述与识别。当前要
            重点做好多个步骤的精准识别，以此来判断软件运行中的各项安全风险，对此类

            问题进行测试来判断其是否能正常运行。常用的威胁分类方式主要有信息泄露、


                                                                                    201
                                                                                    201