安全測(cè)試是對(duì)軟件應(yīng)用程序保護(hù)數(shù)據(jù)�、維護(hù)功能和防止未經(jīng)授權(quán)訪問的能力進(jìn)行評(píng)估的過程�����。它涉及識(shí)別軟件中可能被惡意行為者利用的漏洞和薄弱環(huán)節(jié)���。安全測(cè)試旨在確保軟件能維護(hù)敏感信息的機(jī)密性��、完整性和可用性��。墨爾本大學(xué)SWEN90006主要講了什么內(nèi)容?
一����、概述
1.AIMS
軟件幾乎存在于我們生活的每一個(gè)角落,并不斷改變著世界�����。對(duì)用戶來說��,軟件的正確性��、安全性���、可靠性和高效性至關(guān)重要��。大多數(shù)軟件的規(guī)模和復(fù)雜性確保了實(shí)現(xiàn)這些品質(zhì)并非易事����。本科目將向?qū)W生介紹軟件工程原理���、流程��、工具和技術(shù)��,用于分析��、測(cè)量和開發(fā)正確��、安全和可靠的軟件�����。
該科目是 MC-ENG 工程碩士(軟件)和(軟件與商務(wù))的基礎(chǔ)科目之一�����。
2.指示性內(nèi)容
涵蓋的主題可能包括:靜態(tài)和動(dòng)態(tài)軟件測(cè)試方法;軟件安全性���、質(zhì)量和可靠性;可靠性測(cè)量和工程;性能測(cè)量和工程;軟件問題分析和故障隔離;以及軟件工程工具。
二��、為什么需要進(jìn)行軟件安全測(cè)試?
任何用戶�����、商務(wù)人士、企業(yè)家或組織都不希望因軟件安全漏洞而丟失任何信息或數(shù)據(jù)����。軟件在功能和性能方面滿足質(zhì)量要求,并不一定意味著網(wǎng)絡(luò)應(yīng)用程序軟件是安全的��。在當(dāng)今的情況下����,軟件測(cè)試是識(shí)別和解決應(yīng)用程序安全漏洞的必要手段,以維護(hù)以下幾點(diǎn):
1.信息���、數(shù)據(jù)庫����、數(shù)據(jù)歷史和服務(wù)器的安全
2.客戶的信任和誠信
3.保護(hù)網(wǎng)絡(luò)應(yīng)用程序免受未來攻擊
三�����、軟件安全測(cè)試:方法
在準(zhǔn)備和規(guī)劃安全測(cè)試時(shí)����,開發(fā)人員可以采取以下方法:
架構(gòu)研究與分析:第一步是了解軟件是否符合要求。
威脅分類:列出必須測(cè)試的所有潛在威脅和風(fēng)險(xiǎn)因素。
測(cè)試計(jì)劃:根據(jù)確定的威脅��、漏洞和安全風(fēng)險(xiǎn)運(yùn)行測(cè)試�����。
測(cè)試工具識(shí)別:網(wǎng)絡(luò)應(yīng)用程序的軟件安全測(cè)試工具;開發(fā)人員需要確定測(cè)試軟件的相關(guān)工具����。
執(zhí)行測(cè)試用例:執(zhí)行安全測(cè)試后,開發(fā)人員應(yīng)手動(dòng)或使用任何合適的開放源代碼修復(fù)它們���。
報(bào)告:準(zhǔn)備一份詳細(xì)的安全測(cè)試報(bào)告���。報(bào)告將包含已解決的漏洞、威脅和問題清單�����,以及仍未解決的問題���。
四�、軟件安全測(cè)試的類型
1.靜態(tài)代碼分析
這是最古老的方法����,也是大多數(shù)開發(fā)人員執(zhí)行的第一種安全測(cè)試。我們可以手動(dòng)執(zhí)行這種測(cè)試�����,開發(fā)人員可以通過閱讀代碼來發(fā)現(xiàn)潛在的安全漏洞��。
2.合規(guī)性測(cè)試
軟件必須符合客戶的預(yù)定義策略��,我們通過運(yùn)行合規(guī)性測(cè)試來確保這一點(diǎn)���。在這些測(cè)試中����,我們通過將軟件與實(shí)際配置進(jìn)行比較來分析軟件���。
3.滲透測(cè)試
這種軟件測(cè)試包括對(duì)新設(shè)計(jì)的軟件進(jìn)行模擬攻擊���,以找出薄弱點(diǎn)。一旦發(fā)現(xiàn)問題�����,開發(fā)人員就會(huì)修復(fù)代碼中的錯(cuò)誤。
4.負(fù)載測(cè)試
該測(cè)試測(cè)量軟件在重負(fù)載下的性能����。這種測(cè)試背后的原因是分布式拒絕服務(wù)(DDoS)攻擊,其目的是通過流量或其他請(qǐng)求���,破壞應(yīng)用程序或其主機(jī)基礎(chǔ)設(shè)施的可用性���。
5.起源分析測(cè)試
在過去幾年中,開源軟件越來越受歡迎����。這種軟件安全測(cè)試可幫助開發(fā)人員和安全管理員確定特定代碼的來源。當(dāng)某些源代碼來自第三方項(xiàng)目或資源庫時(shí)�����,此類測(cè)試就變得非常重要�����。
6.SQL 注入測(cè)試
SQL 注入測(cè)試可針對(duì)撇號(hào)��、括號(hào)�、逗號(hào)或引號(hào)進(jìn)行���。這些簡單的錯(cuò)誤會(huì)導(dǎo)致垃圾郵件發(fā)送者的攻擊��。SQL 注入攻擊至關(guān)重要���,因?yàn)楣粽呖梢赃M(jìn)入服務(wù)器數(shù)據(jù)庫并獲取重要信息�����。
這并不是一份權(quán)威的安全測(cè)試清單���。企業(yè)可能會(huì)執(zhí)行其他安全測(cè)試,如風(fēng)險(xiǎn)評(píng)估��、態(tài)勢(shì)評(píng)估�、安全審計(jì),甚至道德黑客�。
海馬課堂專業(yè)課程輔導(dǎo),2100+嚴(yán)選碩博學(xué)霸師資�����,針對(duì)學(xué)生的薄弱科目和學(xué)校教學(xué)進(jìn)度�,匹配背景相符的導(dǎo)師��,根據(jù)學(xué)生情況進(jìn)行1V1專屬備課�,上課時(shí)間靈活安排���,中英雙語詳細(xì)講解課程中的考點(diǎn)��、 難點(diǎn)問題��,并提供多方位的課后輔導(dǎo)���,輔助學(xué)生掌握全部課程知識(shí),補(bǔ)足短板�����。
相關(guān)熱詞搜索:
24h在線客服
聆聽您的聲音:feedback@highmark.com.cn企業(yè)熱線:400-778-8318
