软件测试第13章软件安全性测试课后习题及答案.docxVIP

软件测试第13章软件安全性测试课后习题及答案.docx

第13章软件安全性测试课后习题及答案

1.简述软件安全性的三大核心属性，并分别解释其含义。

答：软件安全性主要围绕以下三大核心属性展开：

（1）机密性（Confidentiality）：确保敏感信息仅限于授权用户访问，防止未授权的披露或窥探，通常通过加密、访问控制和身份验证等机制实现；

（2）完整性（Integrity）：保护数据和程序代码免受篡改或破坏，确保数据的准确性和一致性，可通过数字签名、哈希校验和安全更新机制维持；

（3）可用性（Availability）：保证授权用户能够随时访问和使用软件资源，即使在面临攻击或故障情况下也能提供持续服务，依赖于冗余设计、负载均衡和灾难恢复方案。

2.描述CWE（CommonWeaknessEnumeration）在软件安全领域的作用，并给出一个具体的漏洞分类示例。

答：

（1）CWE的作用：CWE（通用弱点枚举）是全球公认的软件安全漏洞分类标准库，自2006年由US-CERT资助创立以来，在漏洞概念描述与分类体系上形成了统一标准，为软件安全研究与实践提供了清晰的指导框架；

（2）具体示例：CWE-1228（API/FunctionError）涉及对内置函数或外部API的不当使用。当开发者未能正确理解API功能、误用函数参数或对返回值处理不当时，可能引入数据泄露、权限提升等安全风险。