15_软件安全测试概述.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * 3：基于输入语法进行测试。 接口的输入语法，定义了软件接受的输入数据的类型、格式等。该类方法中，首先提取被测接口的输入语法，如命令行、文件、环境变量、套接字，然后根据这些语法，生成测试用例。此类测试方法比较适用于被测软件有较明确的接口语法的情况，范围较窄。 4：采用随机方法进行测试。 该方法又称为模糊测试，将随机的不合法数据输入到程序中，有时候能够发现一些意想不到的错误，在安全性测试中越来越受到重视。 软件测试本来是软件工程中研究比较活跃的一个分支，针对安全测试的研究也收到较多学者的重视。有关一些安全测试方面的最新进展，读者可以参考相关文献。 比较热门的方向包括： 权限系统的自动测试； 形式化方法对测试用例的表达； 分布式环境下的测试； 云计算环境下的测试；等等。 15.3 安全审查 安全审查是指对软件产品进行安全方面的人工检查，是软件质量保证的一个重要环节，主要包括： 代码的安全审查； 配置复查； 文档的安全审查；等等。 本节针对这几个问题进行讲解。 15.3.1 代码的安全审查 代码的审查，是审查小组人工测试源程序的过程，而代码的安全审查，则是针对威胁模型中表达的一些安全问题进行的审查。 代码的安全审查，是一种非常有效的程序安全验证技术，在代码的安