如今人們對(duì)于軟件信息技術(shù)的依賴度越來(lái)越高，產(chǎn)品安全性也成為了用戶選擇該產(chǎn)品的第一考慮項(xiàng)。軟件安全測(cè)試是軟件測(cè)試中十分重要的測(cè)試活動(dòng)，是一種驗(yàn)證軟件系統(tǒng)安全等級(jí)和識(shí)別潛在安全性缺陷的過(guò)程。

　　一、軟件安全測(cè)試的測(cè)試手段

　　1、靜態(tài)的代碼安全測(cè)試：主要通過(guò)對(duì)源代碼進(jìn)行安全掃描，根據(jù)程序中數(shù)據(jù)流、控制流、語(yǔ)義等信息與其特有軟件安全規(guī)則庫(kù)進(jìn)行匹對(duì)，從中找出代碼中潛在的安全漏洞。靜態(tài)的源代碼安全測(cè)試是非常有用的方法，它可以在編碼階段找出所有可能存在安全風(fēng)險(xiǎn)的代碼，這樣開(kāi)發(fā)人員可以在早期解決潛在的安全問(wèn)題。而正因?yàn)槿绱?，靜態(tài)代碼測(cè)試比較適用于早期的代碼開(kāi)發(fā)階段，而不是測(cè)試階段。

　　2、動(dòng)態(tài)的滲透測(cè)試：是使用自動(dòng)化工具或者人工的方法模擬黑客的輸入，對(duì)應(yīng)用系統(tǒng)進(jìn)行攻擊性測(cè)試，從中找出運(yùn)行時(shí)刻所存在的安全漏洞。這種測(cè)試的特點(diǎn)是真實(shí)有效，一般找出來(lái)的問(wèn)題都是正確的，也是較為嚴(yán)重的。但滲透測(cè)試一個(gè)致命的缺點(diǎn)是模擬的測(cè)試數(shù)據(jù)只能到達(dá)有限的測(cè)試點(diǎn)，覆蓋率很低。

　　3、程序數(shù)據(jù)掃描：一個(gè)有高安全性需求的軟件，在運(yùn)行過(guò)程中數(shù)據(jù)是不能遭到破壞的，否則會(huì)導(dǎo)致緩沖區(qū)溢出類型的攻擊。數(shù)據(jù)掃描的手段通常是進(jìn)行內(nèi)存測(cè)試，內(nèi)存測(cè)試可以發(fā)現(xiàn)許多諸如緩沖區(qū)溢出之類的漏洞，而這類漏洞使用除此之外的測(cè)試手段都難以發(fā)現(xiàn)。例如，對(duì)軟件運(yùn)行時(shí)的內(nèi)存信息進(jìn)行掃描，看是否存在一些導(dǎo)致隱患的信息，當(dāng)然這需要專門(mén)的工具來(lái)進(jìn)行驗(yàn)證。

　　二、軟件測(cè)試報(bào)告收費(fèi)貴嗎?

　　軟件測(cè)試報(bào)告的價(jià)格是隨著測(cè)試功能點(diǎn)和測(cè)試項(xiàng)目的大小來(lái)決定的，因此需要根據(jù)具體項(xiàng)目具體報(bào)價(jià)。想要獲得軟件測(cè)試報(bào)告具體報(bào)價(jià)的朋友可以咨詢卓碼軟件測(cè)評(píng)，一家獨(dú)立的具備CMA、CNAS雙重認(rèn)證資質(zhì)的專業(yè)第三方軟件測(cè)試機(jī)構(gòu)，各類軟件測(cè)試報(bào)告全國(guó)范圍內(nèi)可服務(wù)，價(jià)格優(yōu)惠。