《表1 源代码安全测试缺陷统计示例》
在实际应用中,一体化测试开始前需要根据实际项目情况选择合适的静态检测工具。静态检测工具直接扫描程序代码,提取程序关键语法,解释程序语义,理解程序行为,根据预先设定的漏洞特征、安全规则等检查程序,自动识别程序缺陷、安全漏洞和违反编码规则的问题[1-3]。国际领先的软件安全漏洞扫描工具Fortify采用控制流分析、数据流分析、语义分析等多种先进的静态分析方法,查找输入验证与表示、API误用、安全特性、时间与状态、错误处理等8类典型软件安全缺陷。国内自主研发的代码安全检测工具库博Cobot采用基于机器学习的自适应分析引擎,可检测100多类软件缺陷,如内存泄漏、空指针解引用等问题,支持90多种C/C++常见的安全漏洞。因此可以选用这两款工具在一体化测试平台上检测代码白盒测试,并生成相应的缺陷分析检测报告供后续测试参考。
图表编号 | XD00117662000 严禁用于非法目的 |
---|---|
绘制时间 | 2019.12.25 |
作者 | 匡海燕、时晓宁、宋文博、李国杰 |
绘制单位 | 许继电气股份有限公司、许继电气股份有限公司、许继电气股份有限公司、许继电气股份有限公司 |
更多格式 | 高清、无水印(增值服务) |