《软件源代码安全测试系统可行性解析总结报告总结》由会员分享,可在线阅读,更多相关《软件源代码安全测试系统可行性解析总结报告总结(17页珍藏版)》请在金锄头文库上搜索。
1、软件源代码安全测试系统可行性分析研究报告年月目录一、项目的背景和必要性 错误!未定义书签。二、国内外现状和需求分析 错误!未定义书签国内外发展现状 错误!未定义书签需求分析 错误!未定义书签三、项目实施内容及方案 错误!未定义书签总体思路 错误!未定义书签建设内容 错误!未定义书签项目实施的组织管理 错误!未定义书签项目实施进度计划 错误!未定义书签四、实施项目所需条件及解决措施 错误!未定义书签条件需要论述 错误!未定义书签承担单位具备的条件及欠缺条件解决措施 错误!未定义书签五、投资估算,资金筹措 错误!未定义书签项目投资估算 错误!未定义书签资金筹措 错误!未定义书签六、经济、社会效益及
2、学术价值分析 错误!未定义书签七、项目风险性及不确定性分析 错误!未定义书签不确定性分析 错误!未定义书签市场风险分析 错误!未定义书签技术风险分析 错误!未定义书签八、项目主要承担人员概况 错误!未定义书签项目负责人情况 错误!未定义书签主要承担人员及责任分工 错误!未定义书签。一、项目的背景和必要性随着社会信息化的不断加深,计算机软件系统越来越复杂,程序的正确 性也难以保证,计算机病毒和各种恶意程序有了赖以生存的环境。软件功能 越来越负载,源代码越来越大,我们无法从编码的角度彻底消除所有的漏洞 或缺陷,相当数量的安全问题是由于软件自身的安全漏洞引起的。软件开发 过程中引入的大量缺陷,是产生
3、软件漏洞的重要原因之一。不同的软件缺陷 会产生不同的后果,必须区别对待各类缺陷,分析原因,研究其危害程度, 预防方法等。我区的软件业发展尚未成熟,软件测试没有得到足够的重视, 大多数软件开发商更多注重的是软件的功能,对于加强软件的安全性投入不 足,这更增加了软件安全漏洞存在的可能性。系统攻击者可以解除软件安全 漏洞轻易的绕过软件安全认证,对信息系统实施攻击和入侵,获取非法的系 统用户权限,执行一系列非法操作和恶意攻击。为了避免各种安全漏洞的出现,软件测试越来越受到开发人员的重视。 软件测试不仅仅是为了找出软件潜在的安全漏洞,通过分析安全漏洞产生的 原因,可以帮助我们发现当前软件开发过程中的缺陷
4、,以便及时修复。软件 测试可以提高源代码的质量,保证软件的安全性。但是,软件测试是一个非 常复杂的执行过程。测试人员需要根据已有的经验,不断的输入各种测试用 例以测试。纯人工测试效率低,无法满足信息产业发展的需要。我们需要高 效的自动化测试源代码安全测试系统。、国内外现状和需求分析 国内外发展现状目前,常用的漏洞检测方法主要有:安全扫描技术、代码审查、静态分 析、动态监测等。代码审查是人工阅读代码,检查是否有源代码级别的漏洞。 代码审查耗费人力物力,检查速度缓慢,不适用于大型项目的检测。动态监 测室在执行程序的基础上,动态监测程序的执行状态,来检查程序的正确性。 静态测试通过对待测源程序做词法
5、分析,语义分析等源程序信息来检查待测 程序。静态测试在不执行程序的情况下,分析程序路径,有更高的覆盖率和 检测速度,比动态监测更有效,能快速的找到安全漏洞。静态分析是静态测 试的基础,国内外在静态分析方面做了大量的研究,取得一定的成果,并研 发出相应的静态分析工具。目前较多使用的有Soot静态分析工具、PC-Lint静态分析工具、 logiscope软件质量分析测试工具、For tify SC源代码安全扫描、分析和风险 管理工具、 FindBugs 静态分析工具等等,国内外已经对自动化测试工具做了很 多研究,取得一定的成果。需求分析 随着软件事业的发展,人们逐渐的认识到,想要开发出高质量的软件
6、产 品,必须对软件的开发过程进行改善。研究表明,相当数量的安全问题是由 于软件自身的安全漏洞引起的。软件开发过程中引入的大量缺陷,是产生软 件漏洞的重要原因之一。软件源代码安全性缺陷排除是软件过程改进的一项 重要措施。随着社会信息化的不断加深,人们不得不开始面对日益突出的信息安全 问题。不同的软件缺陷会产生不同的后果,必须区别对待各类缺陷,分析原因,研究其危害程度, 防方法等。建立一个比 完整的缺陷分 信息, 防和修 复 件安全缺陷具有指 作用。在中国的很多 件企 存在着重开 、 的 象,造成日后的 件品的 量 出。目前 件 人才的缺口在 30 万人以上, IT 行 国内外巨 正在加 争 件
7、人才, 曾一次抛出 50 名 件 人 的招聘大 ,而 想、用友、瑞星等企 也 打出 高薪招聘 件 人才的启事。由于国内 件 工程 人才奇缺,并且一般只有大中型企 才会 独 立 件 部 。第三方 能 各方面 件 日益增 的需求,特 是源代 安全 ,技 高, 硬件 要求高,企 不愿意在 方面投入大量的人力和物力 源,使得 件源代 有 烈的市 需求。我区件 起步晚,目前仍于襁褓期。至“十五”大以来城市被批准列入 国家信息化点城市。于我区件 的迅速展,同也 件品量、安全有更高的 要求,就需要相关 件方面的 件品量、安全行保障。三、项目实施内容及方案总体思路件源代安全系目的体目是通 系能Java、JSP
8、、JavaSript、VBSript、C#、VB6、C/C+、ASP、PHP, Ruby、Android 、 APEX (AppExchange platform) 等主流 程 言的跨站脚本攻 、SQL注入、Javascript劫持、日志造、冲区溢出等安全漏洞技指,覆盖所有代 路径和 找大部分的安全漏洞 型;建立 件源代 安全漏洞 和安全漏洞解决方案 。培养和 一批有技 能力的 件源代 安 全 人才 伍, 自治区信息安全管理部 提供数据支撑和决策依据。建设内容(1 )建立软件源代码安全测试系统平台。配置主流软件源代码安全测试软件,针对 C、C+、Java、C#等主流编程 语言提供跨站脚本、SQ
9、L注入、缓冲区溢出、参数篡改等漏洞进行自动化测 试。配置主流服务器,为测试平台提供硬件支撑。配置软件环境,windows、linux、unix、aix等操作系统、SQL 数据库、weblogic、websphere 中间件。 配置计算机、笔记本等硬件设施。(2 )配备软件源代码安全漏洞检测人员。由于软件源代码漏洞分析对人员的技术要求也比较高,测试人员需具有2-3年的编程经验,也需要具备信息安全方面的技术,才能对自动化工具检 测结果进行审查,降低误报率。项目需要引进新的人才,同时做相应的培训。培训内容包括软件测试基础:数据库管理、编程技巧、操作系统、网 络安全;软件测试:测试基本理论、软件缺陷、
10、测试过程、需求管理、文 档编写、典型软件机制与缺陷模式、测试项目架构与管理、回归测试、测试 报告;测试工具软件培训;源代码安全漏洞与分析。(3 )建立软件源代码安全检测实验室。利用中心现有资源,建设计算机场地和实验室。根据我中心质量管理体系建立软件源代码安全检测实验室管理规范;制定测试流程、测试用例库、 作业指导书等技术规范。项目实施的组织管理(1) 成立项目实施组,确定项目总负责人 项目开始前,成立项目实施小组管理项目开发实施,确定项目总负责人 负完全责任。项目范围的管理包括下述内容:a. 项目业务范围在项目每一阶段的前期,由业务部门与实施项目小组人员共同对业务需 求做详细的调研和归纳总结。
11、b. 项目实施工作针对调研的结果,进行项目开发实施。c. 项目文档管理详细记录项目的全过程,整理并最终提供所有技术和项目实施资料。(2) 项目实施组的组成及分工 整个项目的实施由项目总负责人领导下的项目实施组完成。根据项目的 具体要求,实施组又分为项目开发与实施、测试、培训与文档等几个小组。a. 项目工程师:了解项目需求,提供技术方案; 配合项目总负责人明确项目的实施内容; 协助项目总负责人解决、解答有关项目合同中的技术问题。b. 项目开发与实施组:接受项目总负责人分配的任务, 了解项目的需求, 了解项目实施的内容 按项目计划要求具体实施项目;按时保质项目现场实施工作;在项目现场提 供必要的现
12、场操作说明;将项目中出现的问题及时反映项目总负责人;及时 记录现场操作内容,形成必要的项目实施文档。c. 测试组: 在质量控制小组和技术专家组的指导下完成项目测试文档;测试手段的准备,对项目内容进行系统测试;及时将所发现的问题向质量控制小组和有 关的部门通报。d. 培训组:负责完成项目的培训工作;完成相关培训文档。e. 技术文档组:负责检查整个分析和设计文档的风格一致性、完整性;完成整个系统开发过程中,各阶段文档的修订,管理及打字工作;由专人负责技术资料的归档和分类管理。项冃:实施进度计划宀口口一Hei 宀+卄序号时间女排内容摘要1201x年9月至2016年11月 可行性报告、实施方案设计、专
13、家评审等。完成实验室软硬件、办公设备采购以及所需办公场2201x年12月至2017年4月所、机房的调整。管理队伍建设,运行相关制度、规章的编制等。3201x年5月系统安装调试。4201x年6月人员培训。5201x 年 9 月组织验收、系统试运行。6201x 年 10 月正式运作,投入使用。四、实施项目所需条件及解决措施条件需要论述依据本项目的实际情况,本项目实施所需条件如下:(1) 人力资源要求拥有足够的专业从事源代码测试、实验、测试的工作人员,并按相 应的要求进行配备、管理。(2) 场地具有符合要求的实验、测试及办公场所。(3) 仪器设备、软硬件环境基础平台:含机柜、交换机、路由器、PC机、
14、服务器等硬件设施;含操 作系统、数据库、源代码安全扫描软件等软件设施;通过软件和硬件的结合,构建一套基础平台,满足网络通讯、终端操作、业务承载等基础功能。安全设施:提供基本的安全功能,如:接入控制;访问控制;数据加密; 入侵检测;漏洞检查;漏洞验证;攻击防护;安全审计等设备。使用者可以 通过在基础平台上使用这些安全设施进行安全研究、攻击演示和系统测评等 工作。管理设施:提供设备统一管理,日志收集分析,安全数据分析等管理类 功能,可以对安全实验室的资源进行统一整合的管理支持。承担单位具备的条件及欠缺条件解决措施软件源代码安全测试系统搭建工作由XXXXXXX承担,该所实施此项目已 具备一定的基础。
15、(1) 人力资源XXXXXXX 成立XX多年来,培养了一批专门从事信息安全、电子信息应用 和推广方面的专业技术人员,专业技术人员大部分是计算机、信息安全、通信、电子、电子商务等或相近相关专业;长期以来从事信息安全、电子信息 工程技术,电子信息科技管理,电子信息经济管理等方面的工作,相关经验 比较丰富,能承担此项目的各项工作。(2) 场地XXXXXXX自有办公楼一栋,使用面积约平方米,有充足的符合要求的场地来建设软件源代码安全测试系统。(3) 仪器设备、软硬件环境XXXXXXX 有良好的网络基础设施平台,Internet接入系统;XXXXXXX 各类检测、试验仪器设备及标准计量器具等600多台(套),有部分仪器设备(
