T17-软件安全体系建设.pdfVIP

软件安全体系建设 Parasoft为您的软件安全保驾护航 什么是软件安全？ Software Security 就是指软件在收到恶意攻击的情形下依 然能够继续正确运行及确保软件被在授权范围内合法使 用的思想。 Software 软件安全 Software Security Safety Software Safety 就是指软件在正常运行状态下，通过某 些特定的计算或逻辑路径时，自身能够保障运行结果满 足预期要求的行为。 软件安全的挑战 病毒入侵 恶意植入 功能混乱 程序崩溃 软件安全 数据错误 信息泄露 常识漏洞 这些威胁带来的困境  重要信息泄露 个人、企业、机构、乃至政府信息，全都依托于软件保护。如出现泄露危机，人身财产 安全将得不到保障。信息安全在金融、政府、军工、企业中有着至关重要的作用。  程序意外崩溃 程序内部不稳定造成意外崩溃问题，导致使用者无法正确完成操作，甚至出现错误操作。 程序稳定在医疗、汽车、轨交等行业中是人身生命安全的保障。  病毒入侵 病毒是软件研发过程中的负产物，已经成为了全世界稳定发展的巨大威胁。只要关乎信 息化、网络化，病毒永远是最大的敌人。  恶意植入 程序由于防护措施不完善，容易出现后门现象。黑客能够通过防护措施的漏洞，进行程 序的恶意植入，将一些不良信息不断进行植入，导致程序出现各种问题，甚至让使用者 丧失主导能力。特别对于当前的移动设备应用此现象尤其明显。 这些威胁带来的困境  数据错误 程序本身的坚固性和逻辑性存在问题而导致的严重安全隐患，通常会严重的人身财产安 全问题。特别是在金融、智能工业、能源等产业。  功能紊乱 对于较大型且复杂的系统，软件的安全其实应该从本身出发。如果出现功能上的缺失或 紊乱，将造成不可预估的后果。对于大型IT行业、金融业、网络游戏等产业尤其重要， 只有完善自身的能力才谈得上其他安全问题的考量。  常识性漏洞 常常是我们最容易忽略的漏洞，在软件生产是，需要通过人的使用习惯、常识、约定俗 成的方式来进行软件应用的形态确定。一些非常细节的易用性、常识性问题，往往也会 导致巨大的安全隐患。 软件安全问题已经造成了难以执行的损失  美国水手号火箭在起飞前往金星的路程中，偏离了预定的航线，任务控制 在起飞293秒后引爆了火箭.事故起因是软件程序中的航道定位算法出现了 差错，直接导致金星计划被搁浅。  美国哈特福德体育场由于分析受力的程序出现了数据错误，导致支撑柱被 大雪压塌，造成数百人丧生，直接经济损失超7000万美元。  2003年3月30日，美国官员称，在伊拉克纳杰夫南部，出现了 “爱国者” 导弹误伤友军 “F16”的情况，其原因是导弹防御系统中的飞机识别软件 没有经过严格的考验。  丰田汽车承认汽车嵌入式软件存在问题，丰田在全球累计下令召回的汽车 已经达到1100万辆。  …… 解决漏洞的传统手段及其弊端  黑盒功能测试：  测试目标不够明确，商业需求与技术完 成情况无法匹配  缺乏自动化手段，工作繁杂且无法明确 达成情况。  时效性较短，无法长期有效保障软件安