1 / 1 5 应用安全性测试指导规范(草稿) 1 . 进 行 应 用 安 全性测试的场景 安全性测试的目的是验证集成在软件内的保护机制是否能够在实际环境中保护系统的安全性。 从严格意义上,应用系统的安全性将涉及到应用的设计、开发和部署这三个主要环节,因而理想化的应用安全性测试应是与整个软件开发过程紧密集成的,即在软件设计、开发、测试和部署的过程中动态检测程序代码的安全性,并在应用最终部署之后进行全面的安全性测评。只有将应用和代码安全的管理融入到应用开发、部署、运维的各环节中,才能确保应用系统的安全性。 在应用系统上线并进入运维阶段之后,也需要在维护性开发过程中进行类似的代码安全性测试,并在日常的应用维护过程中动态进行应用整体安全性的评测。 代码安全性作为应用安全性中的一个核心的内容,是保障代码开发安全性的一个重要的举措,在开发活动结束的节点上应重点加强。而应用开发完毕后的部署和运维环节中,还将涉及到应用系统整体安全性评估的其他内容(包括网络安全、操作安全、权限安全、数据安全等)。 应用安全性测试的相关文档应纳入项目管理和运维管理的文档管理体系。 1.1 初 期 的 应 用 安 全性测试场景 在传统的软件开发管理模式中引入应用安全测试将需要一个逐步的过程,在初期建议在如下的应用场景下,对目标应用系统的安全性进行测试: 应用开发阶段 新应用软件开发完毕,通过开发团队内部测试,即将交付验收测试之前,应组织对应用代码进行安全性测试。 新应用软件部署完毕之后,应组织对目标应用系统进行整体的安全性测评。 应用维护阶段 应用软件在维护性开发完毕,通过维护团队内部测试,即将交付验收测试之前,应组织对维护开发所涉及部分的代码安全性进行测试。 应用软件维护性开发部分部署或系统软硬件架构重大变更 2 / 15 实施完毕之后,应组织对目标应用系统受影响部分进行安全性补充测评。 1.2 目 标 的 应 用 安 全性测试相关场景 而从更完整意义上的应用系统整个生命周期各阶段中,需要进行的应用系统安全性测试、评估的工作可大致规划如下(供参考): 应用设计阶段 应用项目立项时,应明确系统的安全目标和安全功能需求,并通过用户方的(建设方案)评审。 应用软件设计方案中应增加系统安全性设计部分,细化目标系统的安全目标和安全功能,并通过用户方组织的(实施方案)评审。 应用软件测试方案中应...
