《T17-软件安全体系建设》由会员分享,可在线阅读,更多相关《T17-软件安全体系建设(24页珍藏版)》请在金锄头文库上搜索。
1、Parasoft为您的软件安全保驾护航软件安全体系建设什么是软件安全?软件安全SoftwareSecurity SoftwareSafetySoftware Security 就是指软件 在收到恶意攻击的情形下依然能够继续正确运行及确保软件被在授权范围内合法使用的思想。Software Safety 就是指软件在正常运行状态下,通过某些特定的计算或逻辑路径时,自身能够保障运行结果满足预期要求的行为。软件安全的挑战软件安全信息泄露程序崩溃病毒入侵 恶意植入功能 混乱数据错误常识漏洞这些威胁带来的困境 重要信息泄露个人 、 企业 、 机构 、 乃至政府信息 , 全都依托于软件保护 。 如出现泄露危
2、机 , 人身财产安全将得不到保障 。 信息安全在金融 、 政府 、 军工 、 企业中有着至关重要的作用 。 程序意外崩溃程序内部不稳定造成意外崩溃问题 , 导致使用者无法正确完成操作 , 甚至出现错误操作 。程序稳定在医疗 、 汽车 、 轨交等行业中是人身生命安全的保障 。 病毒入侵病毒是软件 研发过程中的负产物 , 已经成为了全世界稳定发展的巨大威胁 。 只要关乎信息化 、 网络化 , 病毒永远是最大的敌人 。 恶意植入程序由于防护措施不完善 , 容易出现后门现象 。 黑客能够通过防护措施的漏洞 , 进行程序的恶意植入 , 将一些不良信息不断进行植入 , 导致程序出现各种问题 , 甚至让使用
3、者丧失主导能力 。 特别对于当前的移动设备应用此现象尤其明显 。这些威胁带来的困境 数据错误程序本身的坚固性和逻辑性存在问题而导致的严重安全隐患 , 通常会严重的人身财产安全问题 。 特别是在金融 、 智能工业 、 能源等产业 。 功能 紊乱对于较大型且复杂的系统 , 软件的安全其实应该从本身出发 。 如果出现功能上的缺失或紊乱 , 将造成不可预估的后果 。 对于大型 IT行业 、 金融业 、 网络游戏等产业尤其重要 ,只有完善自身的能力才谈得上其他安全问题的考量 。 常识性漏洞常常是我们最容易忽略的漏洞 , 在软件生产是 , 需要通过人的使用习惯 、 常识 、 约定俗成的方式来进行软件应用的
4、形态确定 。 一些非常细节的易用性 、 常识性问题 , 往往也会导致巨大的安全隐患 。软件安全问题已经造成了难以执行的损失 美国水手号火箭在起飞前往金星的路程中 , 偏离了预定的航线 , 任务控制在起飞 293秒后引爆了火箭 .事故起因是 软件程序中的航道定位算法 出现了差错 , 直接导致金星计划被搁浅 。 美国 哈特福德体育场由于 分析受力的程序出现了数据错误 , 导致支撑柱被大雪压塌 , 造成数百人丧生 , 直接经济损失超 7000万美元 。 2003年 3月 30日 , 美国官员称 , 在伊拉克纳杰夫南部 , 出现了 “ 爱国者 ”导弹误伤友军 “ F16” 的情况 , 其原因是 导弹防
5、御系统中的飞机识别软件没有经过严格的考验 。 丰田汽车承认汽车 嵌入式软件 存在问题 , 丰田在全球累计下令召回的汽车已经达到 1100万辆 。 解决漏洞的传统手段及其弊端 黑盒功能测试: 测试目标不够明确 , 商业需求与技术完成情况无法匹配 缺乏自动化手段 , 工作繁杂且无法明确达成情况 。 时效性较短 , 无法长期有效保障软件安全质量目标 性能测试: 巨大的脚本撰写压力 , 对于测试人员的素质要求非常高 时效性较短 , 无法长期有效保障软件安全质量目标 对于资源利用无法达到预期要求 自动静态扫描测试: 无法快速有效形成针对于企业单位独有业务需要的安全性指标要求 对于安全性规则解读困难 ,
6、无法将检索得到的问题快速解决 存在一定的误报 、 漏报 , 影响安全性质量保障成果世界顶尖技术要求的质量保障方式与手段 同行代码 评审 :通过人工智慧引导 , 团队协作 , 保障软件各项安全指标达到一定水平 静态代码扫描:结合企业现状 、 通用性安全规则 、 行业能力要求 , 对代码进行全面安全扫描 单元异常处理 :针对每一个函数单元进行有效地能力考验 , 确保每个单元在运行时能够支撑程序系统安全稳定 运行时风险监测:将程序系统在真实环境中运行 , 通过尖端技术对各项指标进行监测 , 确定程序运行安全 业务坚固性测试:通过业务流的能力验证 , 确保程序在运行时针对每一个业务流程的安全能力以及抗
7、压能力 代码覆盖分析:针对动态性质测试所覆盖的代码 提供有效 数据支撑 , 证明安全防范工作开展状态情况 安全漏洞攻击:通过模拟黑客攻击手段 , 在软件研发时就进行漏洞防范 , 保障业务上线后对于黑客恶意攻击与植入的防御能力Parasoft 拥有哪些技术Parasoft产品线帮助您有效建立安全验证体系Parasoft Test全生命周期测试验证平台。帮助开发和 QA团队确保程序的安全性,可靠性以及标准化。Parasoft Virtualize 通过消除基于组件的分布式应用所存在的约束,帮助用户将那些昂贵而难于访问的应用环境虚拟化成为本地资产。Parasoft Concerto 是一个完整的软件
8、开发管理平台。确保持续高效地开发高质量产品Parasoft 如何帮助您达成预设安全目标:代码评审流程2 扫描分析代码3 在开发环境内审查代码4 在开发环境内提交审查意见审查者作者1 Check in 代码 Parasoft 自动化代码审查流程帮助您将复杂费时的团队代码审查,切分为小块时间,让您在喝水时就能完成代码审查工作Parasoft 如何帮助您达成预设安全目标 : 静态代码扫描1 选择规则与工作流3 源码交叉比对2 扫描代码4 派发结果 Parasoft Xtest系列结合全世界最全面的安全能力验证规则。 保障误报率、漏报率不高于 1% 提供最详细的参考资料保障研发人员能力支持 图形化规则
9、创建 Parasoft 如何帮助您达成预设安全目标:静态代码扫描1 直接将结果派发到开发环境视图2 直接进入源码进行修正3 Check-inParasoft 如何帮助您达成预设安全目标 : 单元 级异常处理用户库资源用户源码完整测试报告HTML XMLPDF XSL用户待测资源测试用例资源(包含测试用例驱动)桩函数资源测试框架 /测试激活套件运行库资源ParasoftSymbol表交叉编译 /链接生成可执行目标并在相应平台 /模拟器执行测试日志 /覆盖日志日志数据( TCP/IP) Parasoft 单元测试能够帮你自动化创建测试用例 , 强化函数坚固性 。 为您的单元测试节约超过 50%时间
10、与精力Parasoft 如何帮助您达成预设安全目标 : 运行 时风险监测3 直接将结果派发到开发环境1 夜间执行测试2 源码交叉比对 Parasoft 强大的高新技术帮助您在运行时 , 全面的检索软件安全性问题 结合黑盒测试用例 , 方便您及时定位问题所发生的代码 结合覆盖率分析 , 帮助您快速了解测试成果Parasoft 如何帮助您达成预设安全目标 :业务坚固性测试压力测试资源不足?Parasoft为您提供随意奴役肉鸡功能,保障压力测试拥有足够的后勤资源Parasoft 如何帮助您达成预设安全目标 :代码覆盖分析覆盖率多样化显示覆盖率类型多样覆盖率对象多样数值型百分比覆盖率图形化代码高亮显示
11、指示性覆盖率为 C/C+代码提供 7中覆盖率模型为单元测试提供覆盖率为结合黑盒测试的运行时分析提供覆盖率Parasoft 如何帮助您达成预设安全目标 :安全漏洞攻击如果出现多种手段以压力形式进行攻击,程序是否能够预防?Parasoft可以为你结合渗透攻击与压力测试。额外的安全防御手段:环境安全防护数据库服务主机应用AUT待测应用1 设置监听器通信日志2 捕获通信4 部署虚拟资产Virtualize 服务器3 创建虚拟资产Virtualize 客户端Virtualize Engineer额外的安全防御手段 : 环境安全防护数据库服务主机应用AUT待测应用Virtualize 服务器5 供给虚拟资
12、产Parasoft环境管理器6 使用虚拟资产Parasoft 为您建立全面的安全体系无缝接入,无冲击 循序渐进,无革命 持续快速,无遗漏Parasoft 为您建立全面的安全体系源码及测试测试 结果自定义时间 &无人值守测试服务器 报告系统Desktop版本Server版本(批处理模式 )安全 政策安全 任务Desktop版本 Concerto安全协作服务器Parasoft 项目 安全 管理 与决策团队协同开发实现统一的开发 /测试 /审查环境Parasoft 公司简介 全球领先的软件质量、服务虚拟化及软件生命周期管理解决方案供应商 AEP(自动错误预防)理论的创始者,软件质量领域的领导者 成立于 1987年,总部设在美国加利福尼亚州的洛杉矶 致力于帮助客户迅速提高软件质量的同时大幅缩短上市周期和降低开发成本 专业技术积累和行业应用经验 专业 技术积累和行业应用经验 27年 软件质量相关技术专利 28项 全球各类顶级奖项 40+ 分支机构和合作伙伴网络 34个国家 /地区 全球客户 10,000+ 财富 500强 58% 财富 100强 88% 在中国建立的大学联合实验室 40+Parasoft 客户群疑问与解答Question?
