【檢測內(nèi)容介紹】

北京儀綜所軟件測評中心提供軟件源代碼測試服務(wù)，測試服務(wù)品質(zhì)值得信賴。實(shí)驗(yàn)室依據(jù)國家標(biāo)準(zhǔn)GB/T34943-2017進(jìn)行測試，找出源代碼存在的漏洞并采取修改措施，保證軟件程序的正常穩(wěn)定可靠性的運(yùn)行。
C語言是一種面向過程的程序設(shè)計(jì)語言：廣泛應(yīng)用于系統(tǒng)軟件與嵌入式軟件的開發(fā)。C++語言是一種面向?qū)ο蟮某绦蛟O(shè)計(jì)語言，它在C語言的基礎(chǔ)上發(fā)展而來，與C語言具有許多相同的語法，廣泛應(yīng)用于系統(tǒng)軟件與應(yīng)用軟件的開發(fā)。由于各種人為因素影響，每個(gè)軟件的源代碼都難免會(huì)存在漏洞，而軟件信息泄露、數(shù)據(jù)或代碼被惡意算改等安全事件的發(fā)生一般都與源代碼漏洞有關(guān)。計(jì)算機(jī)信息系統(tǒng)在需求、設(shè)計(jì)、實(shí)現(xiàn)、配置、運(yùn)行過程中，有意或無意產(chǎn)生的缺陷。這些缺陷以不同形式存在于計(jì)算機(jī)信息系統(tǒng)的各個(gè)層次和環(huán)節(jié)之中，如果利用不當(dāng)，會(huì)對計(jì)算機(jī)信息系統(tǒng)的安全造成損害，從而影響計(jì)算機(jī)信息系統(tǒng)的正常運(yùn)行。GB/T34943-2017適用于開發(fā)人員和第三方檢測機(jī)構(gòu)測試人員利用自動(dòng)化靜態(tài)分析工具開展C/C++語言源代碼漏洞測試的活動(dòng)。源代碼的漏洞是存在于軟件源代碼中的漏洞。
源代碼漏洞的測試過程：分為測試策劃、測試設(shè)計(jì)、測試執(zhí)行和測試總結(jié)四個(gè)階段。
C/C++語言源代碼漏洞測試項(xiàng)目主要包含：
行為問題-由于應(yīng)用程序的意外行為而引發(fā)的漏洞；
路徑錯(cuò)誤-不恰當(dāng)?shù)奶幚碓L問路徑而引發(fā)的漏洞；
數(shù)據(jù)處理-處理數(shù)據(jù)的功能中發(fā)現(xiàn)的漏洞；
錯(cuò)誤的API協(xié)議實(shí)現(xiàn)-由于軟件未按預(yù)期用法使用API而引發(fā)的漏洞；
劣質(zhì)代碼-由于軟件編寫不規(guī)范導(dǎo)致潛在的漏洞；
不充分的封裝-未充分封裝關(guān)鍵數(shù)據(jù)或功能而引發(fā)的漏洞；
安全功能（明文存儲(chǔ)口令、存儲(chǔ)可恢復(fù)口令、口令硬編碼、敏感信息明文傳輸、使用已破解或危險(xiǎn)的加密算法、可逆的散列算法、不充分的隨機(jī)函數(shù)等指標(biāo)）-軟件安全功能如身份鑒別、訪問控制、機(jī)密性、密碼學(xué)和特權(quán)管理等漏洞。
Web問題-Web技術(shù)相關(guān)的漏洞。

測試依據(jù)：
GB/T34943-2017《C/C++語言代碼漏洞測試規(guī)范》

測試目的：
發(fā)現(xiàn)及定位軟件源代碼中存在的漏洞。

測試工具：
Checkmarx CxEnterprise工具進(jìn)行測試。

測試環(huán)境：
測試環(huán)境為測試工具安裝的環(huán)境，只需要將源代碼傳到測試工具所在的計(jì)算機(jī)即可。


測試執(zhí)行：
應(yīng)用自動(dòng)化靜態(tài)分析工具掃描和人工分析，篩選出誤報(bào)的源代碼漏洞。

測試總結(jié)：
核查測試環(huán)境、工具、內(nèi)容、方法和結(jié)果是否正確；
確認(rèn)測試目標(biāo)和測試需求是否得到滿足；
總結(jié)測試內(nèi)容、方法和結(jié)果，出具測試報(bào)告。

北京儀綜所軟件質(zhì)量檢測中心具備專業(yè)的軟件測試工程師，測試服務(wù)案例上千家，可以從分析測試需求-確定測試內(nèi)容-確定測試方法-明確測試工具-確定測試環(huán)境-設(shè)計(jì)測試用例-形成測試說明-測試執(zhí)行-分析測試結(jié)果-形成測試日志-評審測試執(zhí)行-編制測試總結(jié)-評審測試總結(jié)-出具檢測報(bào)告全流程全面的軟件測試服務(wù)。通過專業(yè)的軟件測試，能保證源代碼的安全性和可靠性，提高軟件系統(tǒng)的質(zhì)量和安全性。

更新時(shí)間：2026/2/28 16:11:33