精华内容
下载资源
问答
  • 软件安全需求分析
    千次阅读
    2020-12-30 19:10:33

    一、软件与软件安全的需求分析

    为了开发出满足用户需求的软件产品,首先需要知道的是用户的需求。这是对软件开发工作能否取得成功的基础条件。

    1、软件需求分析的主要工作

    为了开发出满足用户需求的软件产品,首先需要知道的是用户的需求。这是对软件开发工作能否取得成功的基础条件。
    1)确定系统的综合要求

    • 功能需求:划分系统需要的功能
    • 性能需求:指定系统的约束,包括速度、信息量、存储量等
    • 可靠性和可用性需求:顶俩个的指定系统的可靠性,它量化了系统被用户的实用程度。
    • 出错处理需求:该如何人响应错误环境。
    • 接口需求:描述系统与特的通信格式
    • 约束:应该遵循的限制条件
    • 逆向需求:说明软件不应该做什么。
    • 将来可能提出的需求:明确哪些需可能扩充到软件之中。

    2)分析系统的数据要求
    准确全面的定义数据,正确的描述数据之间的逻辑关系。
    3)导出系统的逻辑模型
    使用数据流图、实体-联系图、状态转换图、数据字典等逻辑模型。
    4)修正系统开发计划
    在分析过程中,对系统的深入理解,可以具体的、准确的估计系统的成本和进度,修正以前制定的计划。

    2、软件安全需求分析的主要工作

    1)软件安全需求分析的目的与作用

    • 目的: 描述为了实现信息安全目标,软件系统应该做什么,才能高效的提高软件的安全质量,减少软件漏洞。
    • 重要作用:一个没有惊进行安全需求分析的软件开发项目,将威胁到信息的保密性、完整性和可用性,以及其他的一些安全问题。这个软件被攻破就只是时间的问题,早晚会被攻破。所以对于一个软件来说,软件的安全需求分析是必不可少的。

    2)安全需求分析与软件需求分析的联系
    软件安全需求分析是软件需求分析的一个必要组成部分。安全需求应该与业务需求具有同样的需求水平,并能对功能需求具有约束力。
    3)安全需求分析与软件需求分析的区别
    软件安全需求的客观性:
    软件安全需求分析是由系统的客观属性决定的。与一般需求分析的不同在于:安全需求并不是从使用者的要求和兴趣出发,而是由系统的客观属性决定的。
    软件安全需求的系统性:
    软件安全需求分析不能只从系统本身出发,必须从系统角度进行分析。因为软件本身可能会由于逻辑、数据、时序等设计缺陷导致安全问题。从系统角度分析,不可避免涉及到各个领域的专业知识与经验积累。因此分析时应以人为主,分析工具只能起到辅助作用。并且分析时需要有专业的分析人员,熟悉系统架构的总体设计人员,软件设计人员和各领域专家共同参与。
    4)安全需求分析的主要工作
    首先需要确定明白你软件的业务运行环境、规则环境及技术环境。然后在了解各类软件安全需求的基础上,通过一定的安全需求获取过程,对软件应该包含的安全需求进行分析,然后对如何实际部署和开发进行讨论。

    二、软件安全需求来源

    1、来源的分类

    内部安全需求:
    内部安全需求一是指内部需要遵守的政策、标准、指南和实践模式,二是软件功能需要的相关安全需求。
    外部安全需求:
    主要是法律法规等遵从性需求,包括国家和地区的关于技术与管理的法律法规、标准与要求等。

    2、软件安全遵从性需求

    主要由信息系统安全的测评国际保准、信息安全管理的国际标准、信息系统安全工程国际标准以及我国的信息安全标准等组成。

    三、需求的获取

    1、获取的相关方

    软件安全需求获取的相关方包括 业务负责人、最终用户、客户、安全需求分析人员和安全技术支持人员等。
    业务负责人、最终用户和客户咋安全需求确定是发挥着重要作用,应当积极的参与安全需求的采集和分析过程。
    此外,运维小组与信息安全小组等技术支持人员页式相关方,应与分析人员、业务负责人、客户等做好积极沟通,寻求支持与帮助。

    2、获取方法

    1)头脑风暴
    又称之为智力激励法、自由思考法,是指无限制的思考和自由联想、讨论等,其目的在于产生新观念或者激发新创想。值得注意的是,这种情况只适用于需要快速实现的情况下使用。并且这种方式提出的安全需求可能不全面或不一致,以来于个人对问题的理解以及自身的经验等,比较主观。
    2)问卷调查和访谈
    通过问卷调查,可以直接的生成安全需求。其有效性取决于如何向被调查对象提出和是的问题。调查时应该覆盖当前软件的安全设计原则和安全配置文件的内容,应当考虑业务风险、过程风险和技术风险。
    3)策略分解
    将组织需要遵守的内部和外部政策,包括法律法规、隐私和遵从性命令分解成详细的安全需求。这是一个连续化的结构化的过程。
    4)数据分类
    更具数据的生命周期管理对数据分阶段划分来决定安全需求。也可以根据数据的重要性等级的划分来确定。

    5)主客体关系矩阵
    采用主/课题无关系矩阵来刻划一个基于使用用例的主/客体之间的操作关系,在此基础之上确立安全需求。

    更多相关内容
  • 应用程序的安全问题越来越得到大家的重视,软件一旦出现安全漏洞就会给用户和企业带来严重的影响,为了将软件安全问题的后果降到最低,我们都需要进行软件安全测评,软件安全测评的内容有哪些,如何选择软件安全测评...

    应用程序的安全问题越来越得到大家的重视,软件一旦出现安全漏洞就会给用户和企业带来严重的影响,为了将软件安全问题的后果降到最低,我们都需要进行软件安全测评,软件安全测评的内容有哪些,如何选择软件安全测评机构呢?下面一航软件测评的小编来告诉大家。
    为什么要进行软件安全测试?
    软件安全测试是软件测试的重要组成部分,它预测系统中的敏感性并努力保护其数据和资源免受可能的入侵者的侵害。
    潜在安全漏洞的后果是重大的:法律责任、收入损失、客户信任损失和信誉受损。安全测试保证了组织的声誉、客户的信心、敏感数据的隐私以及不可避免的信任。
    在安全测试的过程中,主要有四个重点需要考虑:
    网络安全
    系统软件安全
    客户端应用程序安全
    服务器端应用程序安全
    网络犯罪分子非常具有创新性,并且不断想出更新和先进的方法来侵入系统和应用程序。单纯的安全测试过程很少是测试应用程序真正安全程度的唯一方法。但是,强烈建议将安全测试包含在标准应用程序生命周期中。在一个充斥着黑客的世界里,信任因素对消费者起着巨大的作用。
    在这里插入图片描述
    挑战
    与安全测试相关的挑战有很多:
    需要对大量代码行进行适当测试,以便在较短的测试周期中发现敏感性
    了解整个应用生态系统的端到端知识是一个先决条件,该生态系统包括跨表示、数据层、逻辑以及相关威胁和漏洞的众多平台
    使用基于工具的扫描方法导致的误报和误报过多
    对经过认证和认证并拥有道德黑客技能的测试专业人员存在内在需求
    显然缺乏应对新兴技术所需的指导方针和安全标准
    综上所述
    大多数企业缺乏的是一个可以完全专注于执行安全和其他关键形式的软件测评机构,例如数字、云、自动化、软件、性能、大数据等。因此,许多应用程序未经彻底测试就在市场上推出。这导致了对纯粹的软件测评机构的迫切需求,他们可以提供所需的集中测试方法。
    一航软件测评提供的安全测试服务包括由全面的报告和仪表板维护的深入安全分析,以及针对可能发现的任何问题的补救措施。一航软件测评在云上和本地的移动应用程序、Web 应用程序、Web 服务和软件产品的安全测试方面也拥有卓越的专业知识。同时一航软件测评也是国家授权的第三方软件测评机构,具备相应的软件检测认证资质,出具的软件测试报告全国通用。

    展开全文
  • GJB 102A-2012军用软件安全性设计指南

    热门讨论 2013-12-27 10:00:48
    2012年7月24日的新标准,替代GJB/Z 102-1997《软件可靠性和安全性设计准则》。
  • 第一章 软件安全概述

    千次阅读 2022-03-21 10:29:45
    1.1.1 信息的定义 信息论的创始人 香农 指出:信息是用来消除随机不定性的东西。 信息(Information)是物质运动规律总和,信息不是物质,也不是能量。...信息的安全属性: ● 真实性 ● 保密性 ● 完整性 ● 可用性

    1.1.1 信息的定义

    信息论的创始人 香农 指出:信息是用来消除随机不定性的东西。
    信息(Information)是物质运动规律总和,信息不是物质,也不是能量。
    信息的重要特征:价值,即可用来消除不确定性。
    信息有多种表现形式,可以打印书写到纸上,可以以电子数据的方式存储,可以通过邮寄或者电子邮件的形式传播,可以以胶片形式显示或者交谈表达。总之,信息无处不在。

    1.1.2 信息的属性

    信息是具有价值的,而其价值则是通过其具体属性来体现的。

    信息的安全属性:
    ● 真实性
    ● 保密性
    ● 完整性
    ● 可用性
    ● 不可抵赖性
    ● 可控制性
    ● 可审查性

    1.1.3 信息安全

    信息的价值和流动性是信息安全问题存在的根源。
    信息的直接或潜在价值使其成为攻击者实施攻击的重要目标,由于信息通常是流动的,信息在流动过程中,也大大增加了其价值被他人获取的隐患。

    人们对信息安全的认识经历了数据保密阶段(强调保密通信)、网络信息安全时代(强调网络环境)和目前的信息保障时代(强调不能被动地保护,需要“保护-检测-反应-恢复”四个环节)。

    信息安全的定义:
    CIA:信息安全是对信息的保密性(confidentiality)、完整性(integrity)和可用性(availability)的保持。
    信息安全的实质:要保护信息系统或信息网络中的信息资源免受各种类型的威胁,干扰和破坏,以维护信息的价值,促进业务的连续性。
    信息保障机制PDRR:Protection + Detection + Reaction + Restoration
    P2DR2:信息安全是研究在特定的应用环境下,依据特定的安全策略(policy),对信息及其系统实施保护(protection)、检测(detection)、响应(reaction)和恢复(restoration)的科学。

    信息安全威胁方式:
    ● 信息中断:使得信息不可获得,如DDoS攻击。 破坏信息的可用性
    ● 信息截取:使得信息中途被人获取,如网络数据包嗅探攻击。 破坏信息的保密性
    ● 信息修改:使得信息被非法篡改,如网站首页被非法篡改。 破坏信息的完整性
    ● 信息伪造:使得信息来源和内容不可信,如邮件伪造。 破坏信息的真实性

    信息系统

    狭义定义:是以提供信息服务为主要目的的数据密集型、人机交互的计算机应用系统。
    广义信息系统 ≠ 计算机应用系统。

    网络空间

    是信息时代人类赖以生存信息环境,是所有信息系统的集合,以计算机和网络系统实现的信息化为特征。

    1.2 软件安全

    软件安全是使软件在受到恶意攻击的情形下依然能够继续正确运行的工程化软件思想。
    解决软件安全问题的根本方法就是改善我们建造软件的方式,以建造健壮的软件,使其在遭受恶意攻击时依然能够安全可靠和正确运行。
    软件安全威胁主要包括三个方面:软件自身安全(软件缺陷与漏洞)、恶意软件攻击与检测、软件逆向分析(软件破解)与防护。

    1.3.1 软件缺陷与漏洞

    软件缺陷(defect),又被称作Bug,是指计算机软件或程序中存在的某种破坏正常运行能力的问题、错误,或者隐藏的功能缺陷。缺陷的存在会导致软件产品在某种程度上不能满足用户的需要。
    漏洞,是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而使攻击者能够在未授权的情况下访问或破坏系统。
    软件漏洞,是指软件在设计、实现、配置策略及使用过程中出现的缺陷,其可能导致攻击者在未授权的情况下访问或破坏系统。

    软件缺陷和漏洞被触发后的威胁:
    ● 软件正常功能被破坏
    ● 系统被恶意控制
    任何软件都是存在漏洞的。
    攻击者通过精心设计构造攻击程序(通常成为exploit),准确触发软件漏洞,并利用该软件漏洞在目标系统中插入并执行精心设计的代码(通常称作shellcode或payload),从而获得对目标系统的控制权。

    1.3.2 恶意软件

    恶意软件:指那些设计目的是为了实施特定恶意功能的一类软件程序。
    最典型的恶意软件包括:计算机病毒、特洛伊木马、后门、僵尸、间谍软件等。

    系统被植入恶意软件后的威胁:
    ● 已有软件的功能被修改或破坏
    ● 目标系统中的重要数据被窃取
    ● 目标系统中的用户行为被监视
    ● 目标系统被控制

    1.3.3 软件破解

    软件破解,即通过对软件自身程序进行逆向分析,发现软件的注册机制,对软件的各类限制实施破解,从而使得非法使用者可以正常使用软件。
    软件破解是对版权和安全的一个重大挑战。

    1.4 软件安全防护

    1. 强化软件工程思想,将安全问题融入到软件的开发管理流程之中,在软件开发阶段尽量减少软件缺陷和漏洞的数量。即安全设计应该贯穿到软件的整个发开过程之中。
      最典型和成功的是微软推出的SDL开发模式,即信息技术安全开发生命周期流程(SDL-IT)。

    2. 保障软件自身运行环境,加强系统自身的数据完整性校验。
      可信计算平台的基本思想:首先建立一个信任根,信任根的可信性由物理安全和管理安全确保(目前是以TPM作为信任根),再建立一条信任链,从信任根开始到硬件平台、到操作系统、再到应用,一级认证一级,一级信任一级,从而把这种信任边界扩展到整个计算机系统。

    3. 加强系统自身软件的行为认证——软件动态可信认证
      在确保软件数据完整性的前提下,如何确保软件的行为总是以预期的方式,朝着预期的目标运行,这是软件动态运行可信问题。软件动态行为可信性是衡量软件是否可信的重要依据,是可信软件追求的最终目标。
      我国,国家自然科学基金委2007年启动了“可信软件基础研究”重大研究计划。

    4. 恶意软件检测与查杀
      反恶意软件主要用来对外来的恶意软件进行检测。通常采用病毒特征值检测、虚拟机、启发式扫描、主动防御、云查杀等方法对病毒进行检测。

    5. 黑客攻击防护——主机防火墙、HIPS
      主机防火墙(如天网、OutPost等)可以依据黑客防护策略对进出主机的网络流量进行有效拦截,
      HIPS(Host-based Intrusion Prevention System,如SSM等)可以有效拦截主机上的可疑软件行为,从而有效拦截恶意软件的攻击。

    6. 系统还原
      系统还原技术的核心思想是将关键系统文件或指定磁盘分区还原为之前的备份状态,从而将已有系统中的恶意程序全部清除,以保护系统安全。

    7. 虚拟机、沙箱隔离技术等
      虚拟机:用户可以通过在不同的虚拟机中分别进行相关活动(如上网浏览、游戏或网银等重要系统登录),从而将危险行为隔离在不同的系统范围之内,保障敏感行为操作的安全性。
      沙箱,也叫沙盘或沙盒,在沙箱之中的软件行为及其产生的系统修改是被隔离起来的,因此沙箱通常用于运行一些疑似危险样本,从而隔离安全威胁,也可以用于恶意软件分析。

    展开全文
  • Log4j2危情分析之浅谈开源软件安全、软件供应链安全与DevSecOps实践

    近日,安全圈被Apache Log4j2漏洞刷屏。一款使用范围超大的Java日志框架Apache Log4j2被曝出存在远程代码执行漏洞。该漏洞利用条件非常低,攻击者可以利用该漏洞远程执行恶意代码,从而获取服务器的最高权限。相关的POC、EXP也已经被公开,并且出现了利用该漏洞的攻击行为。目前,CVE漏洞库已收录该漏洞,编号为CVE-2021-44228。

    一、Log4j2漏洞危情分析
    由于Log4j2是一款使用率极高、范围极广基于Java的日志记录工具,广泛被应用在中间件、各种框架、应用程序中。例如:Apache Strust2、Apache Solr、Apache Druid、Apache Dubbo、ElasticSearch、Apache Kafka等。根据Maven仓库的统计,有近7000个组件使用了Apache Log4j2。这些使用了Apache Log4j2进行日志输出的组件或应用,都可能会受该漏洞影响。
    在这里插入图片描述二、开源软件安全危情分析
    现有的开发模式和实际的生产场景中,应用软件的开发几乎都需要开发者通过使用各种开源软件进行软件开发,无法自主完成。根据White Source发布的《开源漏洞管理现状》,只有极少数开发人员由于公司的政策要求而没有使用开源软件,96.8%的开发人员依赖于开源软件。另外,据Gartner的调查显示,99%的组织在其信息系统中使用了开源软件。Sonatype公司曾经对3000家企业的开源软件使用情况展开过调查,结果表明每年每家企业平均下载5000多个开源软件。

    然而,开源软件中长期存在着大量的软件漏洞风险、开源许可风险等安全隐患,更有甚者存在多年未修复更新的漏洞问题。下图展示了近几年来开源软件漏洞的统计情况。
    在这里插入图片描述事实上,在大型软件开发过程中,开源软件的占比越来越高。软件开发人员往往更关注业务的功能实现,忽视所采用开源软件的安全质量,最终导致软件的安全问题不断累增,越来越多,导致安全威胁点演变成攻击面的恶性状况。

    其次,应用程序中使用的开源软件并不能很好地被分辨,软件使用者往往并不清楚产品中使用的开源软件类型和数量。甚至软件开发者在面对庞大的开源软件数量时也并不能做到完全准确的统计。

    从此次安全事件中,再次反应出开源软件安全的重要性。作为在应用开发中不可或缺的部分,对开源软件安全关注已经提上国家层面,对开源软件安全的建设也成为当务之急。

    三、软件供应链安全危情分析
    由上述对开源软件安全现状的危情分析,可以看出开源软件安全问题已经爆发且亟待解决。全球的软件供应链都基于开源软件技术的使用背景,因此软件供应链安全的建设已经是刻不容缓。

    对软件供应链安全的危情分析可以从累积性、依赖性、脆弱性三个表象特性展开。

    1. 软件供应链安全的累积性:大量的软件或系统产品包含数量庞大的三方代码源或插件,这些形成最终产品的“零件”或多或少都存在安全隐患甚已知且多年未修补的漏洞。这些漏洞的不断累加会导致软件供应链安全威胁的叠加和爆发。

    2. 软件供应链安全的依赖性:软件供应链是一种技术产品路径,联系着网络空间的不同企业和业务。软件供应链由各个生产节点组成,无论哪个节点遭受攻击或者技术产品存在漏洞威胁都可能导致全软件供应链的崩坏。

    3. 软件供应链安全的脆弱性:在实际情况生产中,真实的网络生态都是由大量交错复杂的生产链条形成的生态网络。这意味着,网络中的每一个节点都可能被攻击导致断裂,而难以计数的节点也就从无数的维度中形成了风险面以及表现出脆弱性。

    又因为软件供应链大体分为开发、交付、使用三个环节,所以这三个环节均存在不同阶段性和不同类别的的安全威胁。

    四、DevSecOps实践
    面对如上所述日益严重的开源软件安全问题以及软件供应链安全问题,我们一致认为,DevSecOps理念的实施落地是解决这些问题的首选途径,也是响应软件供应链安全三大特性的最佳选择。

    安全玻璃盒【孝道科技】一直关注着开源软件安全以及软件供应链安全,此前已在此领域内推出DevSecOps安全解决方案。DevSecOps安全解决方案是集开发、安全、运营一体化的解决方案,从最初的立项、设计到集成、测试、部署直至软件交付、运营以及监控,能够在软件开发生命周期的每个阶段自动集成安全性,实现多维度体系化的安全赋能。

    在整个DevSecOps安全解决方案中,安全风险是随着软件开发生命周期的阶段进行而不断收敛的,直至最终形成解决问题的闭环。要实施DevSecOps,工具链的建设是其中最重要的环节,需要在整个开发流程中集成各种安全工具。安全玻璃盒自主研发的一系列安全产品,能够助力于安全工具链的建设,解决开源安全风险、软件漏洞风险等安全问题。
    在这里插入图片描述五、安全玻璃盒news
    目前安全玻璃盒全线产品已支持对CVE-2021-44228漏洞的检测分析及攻击防护。

    1.自鉴-开源组件安全分析系统SCA
    安全玻璃盒自鉴-开源组件安全分析系统SCA能够快速、精准识别软件中开源组件的安全性及许可合规性。通过对被引用组件的漏洞检测、跟踪及提供的修复建议,能够提前规避已知漏洞,降低用户面临的软件安全风险。

    2.自鉴-交互式应用安全测试系统IAST
    安全玻璃盒自鉴-交互式应用安全测试IAST完全采用业内领先的智能动态污点分析技术,通过安全与软件的高度耦合的被动“静默监听”模式,对应用系统漏洞及所引用的三方组件,进行高度自动化、无感知无风险、全面精确可视化的漏洞测试和问题定位。在功能测试过程中同步安全测试,真正达到安全左移的目标,同时也大大提高工作效率和降低用户成本。

    3.自御-数字化应用软件安全平台ASTP
    安全玻璃盒自御-数字化应用软件安全平台ASTP采用业内领先的智能动态污点分析技术,安全与应用软件实现深度融合,对应用以及所引用的三方组件,实现在线无风险、高效自动化、全面精确可视化的漏洞检测和定位;当发现漏洞后或遇到异常攻击时将立即激活自适应防护机制,实现攻防结合,赋予应用软件具备“自我检测与保护”的安全能力。

    六、工具下载
    安全玻璃盒【孝道科技】基于自鉴-开源组件安全分析系统SCA产品发布了一款可针对CVE-2021-44228漏洞的免费检测工具,能够快速发现存在风险的Apache Log4j2应用。
    下载地址:https://gitee.com/fs1998/Log4j2Test/tree/master

    展开全文
  • 软件安全期末考试试题21SZ回忆版

    千次阅读 2021-12-28 16:16:46
    软件安全 一、选择题 1、CIA三个选项 2、软件生命周期的三选项 定义、开发、维护 3、MBR是0磁道0扇区1柱面 4、ASLR、DEP、/GS、METE会选择 5、栈和堆的简单判断(非常基础),就问增长方向的 6、什么中有动态链接库...
  • 项目交付时,必须提供的系统安全保障方案,大家软件项目交付时可以参考
  • 如何分析软件安全性需求

    千次阅读 2021-02-20 14:33:31
    软件安全性需求是指系统可靠地控制、监控和审计谁能够在哪种资源上执行哪种动作的能力,以及检测安全漏洞并从中恢复的能力。
  • 软件安全性与软件可靠性

    千次阅读 2020-06-25 21:57:35
    在功能安全实践过程中,软件安全至关重要,软件的特殊性在于它的失效不可量化,一个小小的失误在特定环境下就可能无限放大。在功能安全强调软件安全性的时候,往往与软件可靠性密不可分,航空领域一般讲究可靠性,而...
  • 软件安全概述

    千次阅读 2018-09-26 21:10:20
    一、软件安全 1、软件安全关注的是计算机程序或程序中信息的完整性、机密性和可用性 2、软件的安全缺陷: 1)软件自身的缺陷,设计者故意或过失 2)软件漏洞是基本的形态,而恶意代码是延伸的形体 3)软件中的客观...
  • 软件安全开发 - 流程规范

    千次阅读 2019-03-20 15:37:20
    写一篇软件安全开发流程分享给大家,帮助从事软件开发,测试,管理的人员,规范操作,重视软件工程安全。 现今社会存在各种网络安全事件,比如勒索病毒导致许多网络系统瘫痪,大量注册用户个人数据泄露导致企业...
  • 软件安全测试方法

    千次阅读 2019-01-25 22:47:48
    渗透测试是一种合法且授权定位计算机系统,并对其成功实施漏洞攻击的方法,其目的为了使这些受测系统更加安全。测试过程包括漏洞探测和提供概念证明攻击,以证明漏洞确实存在。渗透测试也称为黑客活...
  • 因此,普遍遵循的趋势是部署安全方法来检测和防止网络级别的漏洞。企业使用防火墙试图限制未经授权的访问,分析被广泛用于检测异常数据使用活动,这些活动可用作发出攻击信号的来源。但是,许多企业并没有意识到,...
  • 别人在异地通过计算机网络异地拨号或双方都接入Internet通过用远程软件等手段就是远程桌面控制,连通需...向日葵是国内安全性很高的远程控制软件。之所以这么说是因为它不仅获得了各大安全厂商的认证和微软的双重认...
  • 软件安全性测试

    万次阅读 2017-07-08 23:18:44
    软件安全性是一个广泛而复杂的主题,每一个新的软件总可能有完全不符合所有已知模式的新型安全性缺陷出现。要避免因安全性缺陷问题受各种可能类型的攻击是不切实际的。在软件安全测试时,运用一组好的原则来避免不...
  • 软件安全开发生命周期-基础理论

    千次阅读 2018-05-25 17:32:02
    一、SDL简介SDL security development lifecycle(安全开发生命周期),是微软提出的从安全角度指导软件开发过程的管理模式。SDL是一个安全保证的过程,起重点是软件开发,它在开发的所有阶段都引入了安全和隐私的...
  • 由于互联网和移动设备的使用不断增加,这改变了人们的衣食住行,尤其是零售业。...因此应用程序和软件的安全问题也成为了需要考量的重中之重,下面一航软件测评的小编为大家介绍软件安全测评的重要性。
  • 软件安全测试

    千次阅读 2016-04-17 20:02:09
    软件安全性是指软件在系统中运行而不至于在系统工作中造成不可接受风险的能力 Software security 软件安全指软件在受到恶意攻击的情形下依然能够继续正确运行及确保软件在被授权范围内能够合法使用。 计算机安全...
  • 安全测试(五)APP应用安全 手机软件安全 Android APK软件安全 apk安全 apk反编译 应用日志窃取 apk漏洞 应用软件本身功能漏洞 高危权限泄密风险等 移动应用常规安全讲解Android移动端安全 1、APP 接口安全 未加密 ...
  • Android软件安全与逆向分析下载链接: https://pan.baidu.com/s/1RB8tYECoGXwNh6_vlVV8sw  提取码获取方式:关注下面微信公众号,回复关键字: 1124
  • 软件安全测试本质上转化为确保应用程序的来源以及相关数据是真实的。还有授权问题,确保只有那些有权授权某些功能的人才能这样做。彻底检查应用程序的完整性和数据机密性以确定软件的可靠性。
  • 开源软件漏洞安全风险分析

    千次阅读 2021-02-20 18:05:27
    聚焦源代码安全,网罗国内外最新资讯!作者:冯兆文、刘振慧 / 西北工业大学、中国航空工业发展研究中心一、引言2020年2月,国家信息安全漏洞共享平台(CNVD ) 发布了关于Apache...
  • Android软件安全开发实践

    千次阅读 2014-09-26 10:16:53
    第一期将从数据存储、网络通信、密码和认证策略这三个角度,带你走上Android软件安全开发实践之旅。 过去两年,研究人员已发现Android上的流行软件普遍存在安全缺陷或安全漏洞。漏洞频发的原因可能有很多,例如以下...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,225,419
精华内容 490,167
关键字:

软件安全

友情链接: IEEE14.rar