软件源代码安全测试系统可行性解析总结报告总结docWord格式.docx
《软件源代码安全测试系统可行性解析总结报告总结docWord格式.docx》由会员分享,可在线阅读,更多相关《软件源代码安全测试系统可行性解析总结报告总结docWord格式.docx(14页珍藏版)》请在冰豆网上搜索。
项目实施进度计划.......................................
四、实施项目所需条件及解决措施..................
条件需要论述...........................................
承担单位具备的条件及欠缺条件解决措施...................
五、投资估算,资金筹措..........................
项目投资估算...........................................
资金筹措...............................................
六、经济、社会效益及学术价值分析................
七、项目风险性及不确定性分析....................
不确定性分析...........................................
市场风险分析...........................................
技术风险分析...........................................
八、项目主要承担人员概况........................
项目负责人情况.........................................
主要承担人员及责任分工.................................
一、项目的背景和必要性
随着社会信息化的不断加深,计算机软件系统越来越复杂,程序的正确性也难以保证,计算机病毒和各种恶意程序有了赖以生存的环境。
软件功能越来越负载,源代码越来越大,我们无法从编码的角度彻底消除所有的漏洞或缺陷,相当数量的安全问题是由于软件自身的安全漏洞引起的。
软件开发过程中引入的大量缺陷,是产生软件漏洞的重要原因之一。
不同的软件缺陷会产生不同的后果,必须区别对待各类缺陷,分析原因,研究其危害程度,预防方法等。
我区的软件业发展尚未成熟,软件测试没有得到足够的重视,大多数软件开发商更多注重的是软件的功能,对于加强软件的安全性投入不足,这更增加了软件安全漏洞存在的可能性。
系统攻击者可以解除软件安全漏洞轻易的绕过软件安全认证,对信息系统实施攻击和入侵,获取非法的系统用户权限,执行一系列非法操作和恶意攻击。
为了避免各种安全漏洞的出现,软件测试越来越受到开发人员的重视。
软件测试不仅仅是为了找出软件潜在的安全漏洞,通过分析安全漏洞产生的原因,可以帮助我们发现当前软件开发过程中的缺陷,以便及时修复。
软件测试可以提高源代码的质量,保证软件的安全性。
但是,软件测试是一个非常复杂的执行过程。
测试人员需要根据已有的经验,不断的输入各种测试用例以测试。
纯人工测试效率低,无法满足信息产业发展的需要。
我们需要高效的自动化测试源代码安全测试系统。
二、国内外现状和需求分析
国内外发展现状
目前,常用的漏洞检测方法主要有:
安全扫描技术、代码审查、静态分
析、动态监测等。
代码审查是人工阅读代码,检查是否有源代码级别的漏洞。
代码审查耗费人力物力,检查速度缓慢,不适用于大型项目的检测。
动态监
测室在执行程序的基础上,动态监测程序的执行状态,来检查程序的正确性。
静态测试通过对待测源程序做词法分析,语义分析等源程序信息来检查待测
程序。
静态测试在不执行程序的情况下,分析程序路径,有更高的覆盖率和检测速度,比动态监测更有效,能快速的找到安全漏洞。
静态分析是静态测试的基础,国内外在静态分析方面做了大量的研究,取得一定的成果,并研发出相应的静态分析工具。
目前较多使用的有Soot静态分析工具、PC-Lint静态分析工具、logiscope软件质量分析测试工具、FortifySCA源代码安全扫描、分析和风险管理工具、FindBugs静态分析工具等等,国内外已经对自动化测试工具做了很多研究,取得一定的成果。
需求分析
随着软件事业的发展,人们逐渐的认识到,想要开发出高质量的软件产
品,必须对软件的开发过程进行改善。
研究表明,相当数量的安全问题是由
于软件自身的安全漏洞引起的。
软件开发过程中引入的大量缺陷,是产生软
件漏洞的重要原因之一。
软件源代码安全性缺陷排除是软件过程改进的一项
重要措施。
随着社会信息化的不断加深,人们不得不开始面对日益突出的信息安全
问题。
不同的软件缺陷会产生不同的后果,必须区别对待各类缺陷,分析原
因,研究其危害程度,防方法等。
建立一个比完整的缺陷分信息,防和修复件安全缺陷具有指作用。
在中国的很多件企存在着重开、的象,造成日后的件
品的量出。
目前件人才的缺口在30万人以上,IT行国内外巨正在加争件人才,曾一次抛出50名件人的招聘大,而想、用友、瑞星等企也打出高薪招聘件人才的
启事。
由于国内件工程人才奇缺,并且一般只有大中型企才会独立件部。
第三方能各方面件日益增的需求,特是源代安全,技高,硬件要求高,企不愿意在方面投入大量的人力和物力源,使得件源代有烈的市需求。
我区件起步晚,目前仍于襁褓期。
至“十五”大以来⋯⋯城市被批准列入国家信息化点城市。
于我区件的迅速展,同也件品量、安全有更高的要求,就需要相关件方面的件品量、安全行保障。
三、项目实施内容及方案
总体思路
件源代安全系目的体目是通系能Java、
JSP、JavaSript、VBSript、C#、、、VB6、C/C++、ASP、PHP,Ruby、
Android、APEX(AppExchangeplatform)等主流程言的跨站脚本攻、
SQL注入、Javascript劫持、日志造、冲区溢出等安全漏洞技指
,覆盖所有代路径和找大部分的安全漏洞型;
建立件源代安全
漏洞和安全漏洞解决方案。
培养和一批有技能力的件源代安
全人才伍,自治区信息安全管理部提供数据支撑和决策依据。
建设内容
(1)建立软件源代码安全测试系统平台。
配置主流软件源代码安全测试软件,针对C、C++、Java、C#等主流编程
语言提供跨站脚本、SQL注入、缓冲区溢出、参数篡改等漏洞进行自动化测
试。
配置主流服务器,为测试平台提供硬件支撑。
配置软件环境,windows、
linux、unix、aix等操作系统、SQL数据库、weblogic、websphere中间件。
配置计算机、笔记本等硬件设施。
(2)配备软件源代码安全漏洞检测人员。
由于软件源代码漏洞分析对人员的技术要求也比较高,测试人员需具有2-3年的编程经验,也需要具备信息安全方面的技术,才能对自动化工具检
测结果进行审查,降低误报率。
项目需要引进新的人才,同时做相应的培训。
培训内容包括①软件测试基础:
数据库管理、编程技巧、操作系统、网络安全;
②软件测试:
测试基本理论、软件缺陷、测试过程、需求管理、文档编写、典型软件机制与缺陷模式、测试项目架构与管理、回归测试、测试报告;
③测试工具软件培训;
④源代码安全漏洞与分析。
(3)建立软件源代码安全检测实验室。
利用中心现有资源,建设计算机场地和实验室。
根据我中心质量管理体系建立软件源代码安全检测实验室管理规范;
制定测试流程、测试用例库、作业指导书等技术规范。
项目实施的组织管理
(1)成立项目实施组,确定项目总负责人
项目开始前,成立项目实施小组管理项目开发实施,确定项目总负责人
负完全责任。
项目范围的管理包括下述内容:
a.项目业务范围
在项目每一阶段的前期,由业务部门与实施项目小组人员共同对业务需
求做详细的调研和归纳总结。
b.项目实施工作
针对调研的结果,进行项目开发实施。
c.项目文档管理
详细记录项目的全过程,整理并最终提供所有技术和项目实施资料。
(2)项目实施组的组成及分工
整个项目的实施由项目总负责人领导下的项目实施组完成。
根据项目的
具体要求,实施组又分为项目开发与实施、测试、培训与文档等几个小组。
a.项目工程师:
了解项目需求,提供技术方案;
配合项目总负责人明确项目的实施内容;
协助项目总负责人解决、解答有关项目合同中的技术问题。
b.项目开发与实施组:
接受项目总负责人分配的任务,了解项目的需求,了解项目实施的内容;
按项目计划要求具体实施项目;
按时保质项目现场实施工作;
在项目现场提
供必要的现场操作说明;
将项目中出现的问题及时反映项目总负责人;
及时
记录现场操作内容,形成必要的项目实施文档。
c.测试组:
在质量控制小组和技术专家组的指导下完成项目测试文档;
测试手段的
准备,对项目内容进行系统测试;
及时将所发现的问题向质量控制小组和有
关的部门通报。
d.培训组:
负责完成项目的培训工作;
完成相关培训文档。
e.技术文档组:
负责检查整个分析和设计文档的风格一致性、完整性;
完成整个系统开
发过程中,各阶段文档的修订,管理及打字工作;
由专人负责技术资料的归
档和分类管理。
项目实施进度计划
序号时间安排内容摘要
1201x年9月至2016年11月可行性报告、实施方案设计、专家评审等。
完成实验室软硬件、办公设备采购以及所需办公场
2201x年12月至2017年4月所、机房的调整。
管理队伍建设,运行相关制度、规章的编制等。
升级会员 