测试理论 05.pptVIP

测试方法论 产品开发周期的安全性 * Jaycee Test 产品开发周期的安全性 阶段0：安全意识教育和培训 阶段1：项目开始阶段 阶段2：设计阶段：建立和遵循最佳实现原则 阶段3：设计阶段：安全威胁模型 阶段4：实施阶段：为客户创建安全性文档和工具 阶段5：实施阶段：为开发与测试建立和遵循最佳实现原则 阶段6：校验阶段：安全推进 阶段7：发布阶段：最终安全回顾 阶段8：发布阶段：安全响应计划 阶段9：发布阶段：大规模制造发布/网络发布 阶段10：后发布阶段：安全响应执行 产品开发周期的安全性 微软的产品开发进程一般遵循以下的模式： 产品开发周期的安全性 M0: 需求分析 主要提交物：版本的构架和备忘录 M1: 设计 主要提交物：设计文档 M2-M3: 实施 主要提交物：机能与平台代码 产品开发周期的安全性 M4: 验证 主要提交物：Beta测试版 M5: 发布 主要提交物：最终完成代码，发布候选者，大规模制造发布/网络发布 ? 针对以上开发流程，微软提出与之相对应的十个阶段： 阶段0：安全意识教育和培训 在这个阶段，每个参与项目的开发者和测试者都被要求参加一系列的安全培训，比如，“安全设计，开发与测试基础”，“编写安全的代码”，“安全威胁的几种模式”，等等。 这一阶段要求每个参与项目的人员都能很好的完成安全培训课程。 阶段1：项目开始阶段 在这个阶段，每个开发团队要把安全需求放在项目计划安排阶段的首位去考虑。这一阶段要考虑的包括把安全性整合到开发进程中，确定主要安全目标，及最优化软件安全同时对计划进度的最小破坏。 一些成功的经验： 安全计划的制定和进度与工作物的提纲。安全计划包括开发周期各阶段所消耗的人力物力，像培训，威胁模型，安全推进以及最后安全回顾。总而言之就是安全目标的各个方面。它是与项目进程依依相关的，早期的清晰的安全计划能减少项目后期突发安全事件所带来的损失。 阶段2：设计阶段：建立和遵循最佳实现原则 这一阶段架构师，开发者和项目管理者要根据客户需求的简要描述规划出大多数的特定功能设计，也就是功能设计书。在功能设计书中要包括直面顾客的安全功能需求，像需客户授权与安全认证的特殊数据或高级功能。关于安全功能设计的考虑，如APT加密的健壮应用，尽可能使用已整理的代码，数据在处理前要严格校验，等等。 建议： 安全文档结构化 非必要功能不要默认Enable 安全的默认安装模式 最易受攻击的入口要多重保护 参照已上市的相似功能产品以避免重复错误 在后续版本中检查已发现的薄弱点 确保新建用户拥有最小权限和安全的密码 废止已宣布不再使用的功能 所有样本源代码也要经过详细审核 新版本中尽可能将遗留的未整理代码变为已整理代码 建议： 追加的新功能尽可能使用已整理的代码 利用.NET的安全机能 严密关注访问控制 正确使用加密算法 一切输入都要校验 关注标准表示法问题 确保每个项目成员了解不安全的功能和代码式样 确保生产团队了解最新的安全威胁模式 小心处理错误信息 阶段3：设计阶段：安全威胁模型 安全威胁模型是对产品可能面临的威胁和弱点的描述表。它将有助于避免遗留代码的安全遗患和弱点。 建议： 在功能设计书完备的基础上建立安全威胁模型并把它作为进入下阶段必须检验的标准。 如因需求变化引起功能设计书变动，应修改相对应的安全威胁模型。 部分考虑最大安装用户与默认安装用户的区别适当调整安全威胁模型。 针对安全威胁模型所列的弱点各报一个BUG, 以供QA组校验。 阶段4：实施阶段：为客户创建安全性文档和工具 当产品结构已经基本稳定，客户指导部门就要开始着手为客户创建安全性文档和工具。指导用户如何安全的使用产品和产品的发布同等重要。 建议： 开发管理，程序管理以及客户指导部门要聚在一起讨论一下指导用户如何安全的使用产品需要提供的资讯，包括用户界面操作指导等。这些在功能设计书中应有详细地描述，这一阶段也是对功能设计书中客户需求部分的回顾检查。 客户指导部门要制定详尽的时间人力安排表，作为第一优先级的任务，安全性文档和工具要确保比产品提前完成提交。 阶段5：实施阶段：为开发与测试建立和遵循最佳实现原则 建立和遵循最佳实现原则将有助于在开发与测试中更快地发现和解决安全问题。 使用最新版本的编译器和编译选项将有助于避免提交二进制时的安全隐患。 建议： 回顾代码中所用技术和方法的可用信息以确保它是合适于产品的。 对已证明是最佳的方案要详细描述与记录并保存到相应库中，以方便后来的开发者借鉴。 阶段6：校验阶段：安全推进 安全推进是在整个团队范围开展安全威胁模型更新，代码回顾，测试与文档修正。 安全推进不是对一个缺乏安全规范的团队的一种补救措施，而是在安全文档架构下的一种进一步确保手段，目的是揭示开发过程