2020年7月10日,由中国证券监督管理委员会信息中心等单位起草的《证券期货业软件测试指南》正式颁布,针对软件安全测试,明确提出了证券期货行业信息系统建设过程中须开展软件安全测试。其中明确规定了软件安全测试应遵循的目标及流程是什么、软件安全测试技术有哪些、以及软件安全测试的基本测试方法及移动应用安全测试特定测试方法,适用于指导对证券期货行业市场核心机构、证券期货基金经营机构以及证券期货信息技术服务机构等,如何实施证券期货业计算机软件和外部信息系统的安全测试具有重要且明确的指导意义。指南详细指出了在证券期货行业中针对每个具体的系统需要完成的测试方式,其中包括如下几种测试方式:
安全功能检查
通过人工检查、审核的方式对软件开发过程中涉及的安全策略、进度、技术决策(如开发模型等)进行安全功能检查。检查内容包括文档、代码安全策略、安全要求、架构安全性等,检查的形式包括人工文件分析、访谈等。
代码安全测试
通过对软件源代码进行安全扫描和审计,定位漏洞代码所在位置。测试内容分为静态检测与动态检测,覆盖范围广、测试效率高。静态检测基于权威软件安全规范,如开放式Web应用程序安全项目(OWASP)、公共漏洞和暴露(CWE)、支付卡行业数据安全标准(PCI DSS)等,可以发现如变量未初始化、数组越界、缓冲区溢出、浮点数比较、除零等严重代码编写错误,以及其它代码规范问题。动态检测是指运行被测程序,检测内存溢出、资源泄露、进程线程异常等在代码执行时才会发现的安全问题。
漏洞扫描
通过自动化扫描方式,检测系统和应用中存在的安全漏洞。测试内容为基于漏洞数据库或特征库,通过自动化工具扫描、探测等方法对目标系统的安全情况进行检测,发现可利用漏洞的一种安全测试技术。它能够定位漏洞准确位置,覆盖范围广。但由于自动化工具在很多情况下只是提示一种漏洞存在的可能,因此需要对结果进行人工的分析判断。
渗透测试
以攻击者视角进行的黑盒测试,从而获得对应用系统安全的主观评价。测试内容为以未经授权的动作,主要指模拟黑客的各种攻击方法,绕过某一系统的安全机制,对主机或网络进行攻击测试,以检查系统的安全功能,发现安全问题或风险,或者用于重现某一攻击场景。该项测试的测试结果通常真实有效且较为严重。
模糊测试
通过向目标系统提供非预期输入的方式,提高应用程序的健壮性及抵御意外输入时的安全性。测试内容主要是向被测系统提供非预期的输入,并监视系统的异常表现或故障。它充分利用机器的能力通过自动化或半自动化的方式执行,具有智能高效,易于开发适合自身系统的工具等特点。
《证券期货业软件测试指南》中各系统使用证券交易所行业软件安全测试技术对应表如下:
证券交易所行业软件安全测试技术对应表:
期货交易所行业软件安全测试技术对应表:
证券公司行业软件安全测试技术对应表:
基金管理公司行业软件安全测试技术对应表:
期货公司行业软件安全测试技术对应表:
安般科技研究方向涵盖以上代码安全测试、漏洞扫描、渗透测试、模糊测试的技术要求,具体对应的产品如下:
易恒智能模糊测试系统
针对C/C++(Linux)和Java程序的模糊测试工具,无缝嵌入CI流程,有效提升程序安全性和稳定性,是企业DevQualOps实践的重要工具。
易察Web/API模糊测试系统
面向API的黑盒模糊测试工具,可以自动发现Web应用中的API并解析API规范,生成海量有效测试数据,向目标API发送请求进行测试,能够有效挖掘API缺陷。
SCA源代码成分分析系统
面向源代码的自动化成分分析及开源风险治理工具,帮助使用者有效解决开源治理过程中的安全和合规问题。
易净源代码安全检测系统
能够全面地对系统源代码中所存在的安全漏洞,性能缺陷,编码规范等9大类共1000多小类的问题进行综合性分析。
文章来源:安般科技
未经允许请勿转载