應(yīng)用軟件安全測試

多年以來，有兩點我可以確定：一是對于高保障性（high assurance）軟件的社會需求呈不斷增長的態(tài)勢；二是市場從來就不會提供這樣的軟件。——Earl Boebert

對安全而言，開源是一件好事，因為這種方式可以防止你違反科克霍夫法則——Eric Raymond

在以前的單機時代，安全問題主要是操作系統(tǒng)容易感染病毒，單機應(yīng)用程序軟件安全問題并不突出。但是自從互聯(lián)網(wǎng)普及后，軟件安全問題愈加突顯，使得軟件安全性測試的重要性上升到一個前所未有的高度。 軟件安全性是一個廣泛而復(fù)雜的主題，每一個新的軟件總可能有不符合所有已知模式的新型安全性缺陷出現(xiàn)。近年來， 類似于CSDN、天涯網(wǎng)大規(guī)模用戶信息泄露的安全事件時有發(fā)生，這些安全事件的根本原因是應(yīng)用軟件自身存在軟件安全漏洞。如果應(yīng)用系統(tǒng)能夠在上線之初就能夠執(zhí)行專業(yè)的Web應(yīng)用上線測試服務(wù)，很多安全問題就能夠消滅在萌芽中。

服務(wù)介紹：

海峽信息建立起應(yīng)用安全研究團隊，專注于應(yīng)用軟件安全方面的漏洞研究、攻防研究和代碼加固研究，并通過深入研究來自于微軟的“軟件安全開發(fā)生命周期”流程，提出了海峽信息應(yīng)用軟件安全開發(fā)生命周期解決方案，如下圖所示：

海峽信息“應(yīng)用上線測試”服務(wù)采用了黑盒與白盒測試技術(shù)相結(jié)合服務(wù)模式，旨在針對“電子政務(wù)、電子商務(wù)”重要應(yīng)用應(yīng)用系統(tǒng)的應(yīng)用安全展開全面的安全測試，該測試參照國際開放Web應(yīng)用安全組織（OWASP）相關(guān)規(guī)范并結(jié)合海峽信息多年的最佳實踐經(jīng)驗，可以在應(yīng)用系統(tǒng)上線前或運行中展開安全測試。