安全软体测试参考指引-natgovtw.PDF

文件編號：ICST-C-026 103年資安服務暨專案管理辦公室 安全軟體測試參考指引 (V1.0) 執行單位：財團法人資訊工業策進會 中 華民國103年12月 報告摘要 報告名稱 安全軟體測試參考指引 資訊等級 ☐機密 ☐密 ☐內部使用 ☒普通 相關撰稿人 陳彥銘、盧紹榮、林志堯 閱讀對象 ☒一般主管 ☒資安人員 ☒資訊人員 ☐一般使用者 內容摘要： 一、目的 本指引針對系統安全測試流程作法進行探討，歸納出進行系統安全測試之實 行重點，並整理與測試相關之國際標準，包含如 ISO/IEC 27001:2013 、IEEE 829:2008 、ISO/IEC/IEEE 29119:2013 ，以及OWASP Testing Guide 等。並針對 安全需求進行探討，歸納出驗證 安全需求實務活動之重點，最後介紹常用的 安全性測試技術，包含源碼靜態分析以及滲透測試，以協助相關人員 了解 進 行軟體安全測試時應該注意的事項及進行方式。 本指引主要為提供機關於進行安全功能驗證之基礎，可作為自行開發或委外 管理系統的參考依據，期能落實安全軟體生命週期之實踐，透過測試以驗證 整體資訊系統之安全性，強化政府整體安全軟體發展能量。 二、適用對象 本參考指引適用於軟體發展領域之所有對象，包含一般主管、資安人員及 資訊人員，並針對不同對象建議說明其使用效益。 ●一般主管，例如資訊部門主管或軟體專案管理者，為確保軟體開發專案或 組織使用之現有系統的安全性，可以使用這份指引來計畫安全測試活動， 並可供擬訂軟體需求書或合約時參考使用，適用於自行開發或委外開發之 軟體專案或系統。 i ●資安人員 ，例如安全測試人員，為實施組織資訊安全部門所屬人員，必須 熟悉資訊安全理論與規範，接受資訊開發人員之諮詢，並於開發完成後負 責驗證軟體的安全需求是否已被滿足，可以使用這份指引 了解安全驗證的 施行項目以及學習安全測試的技術來增強安全性檢測能力。 ●資訊人員，例如軟體開發者，為確保進行資訊系統程式於開發與管理時符 合資訊安全相關規範的需求與水準，可以使用這份指引來了解軟體可能潛 藏的資安弱點與可能面臨的安全威脅，以及驗證所遞交的源碼之安全性。 三、章節架構 第 1章說明本指引之目的、適用對象及章節架構介紹。 第 2章介紹安全軟體測試的要項，以及相關國際標準 與常見的Web應用程 式弱點。 第 2章第 1節說明安全軟體測試所應注意的事項。 第 2章第 2節介紹「安全軟體測試相關國際標準」，如 ISO/IEC 27001:20 13 、 IEEE 829: 2008 、ISO/IEC/IEEE 29119:2013 ，以及OWASP測試指引等，作 為本指引參考的文獻。 第 2章第 3節介紹「常見的 Web應用程式弱點」，針對國際資安組織所分 類的弱點及威脅進行介紹，如 OWASP Top 10 、WASC 威脅分類、 CWE/SANS Top 25 。 第 2章第 4節「結語」，總結第 2章內容。 第 3章「安全需求驗證」介紹如何針對安全需求進行驗證。 第 3章第 1節介紹安全需求的原則、類型、正面需求與負面需求，最後介 紹安全需求的萃取方式。 第 3章第 2節說明安全需求驗證實務活動的要項，包含 OWASP應用程式 ii 安全驗證標準以及安全軟體發展生命週期內的安全需求驗證。 第 3章第 3節 介紹網頁自動化測試可以利用的工具 ，以避免使用人工進行 重複性的測試，提高測試效率 。 第 3章第 4節「結語」，總結第 3章內容。 第 4章針對安全性測試技術進行介紹，包含靜態源碼分析、滲透測試，以 及灰箱安全性測試。 第 4章第 1節「源碼靜態分析」，說明源碼安全審查及自動化工具檢測的 進行要點。 第 4章第 2節「滲透測試」，說明進行滲透測試