软件安全测试新武器
作者:网络转载 发布时间:[ 2013/7/17 13:24:10 ] 推荐标签:
三:Fortify Tracer
全球大的软件安全厂商美国Fortify Software公司在根据从事多年的软件安全领域的研究的基本上,根据上文讲述的动态污染传播的方法(Dynamic Taint Propagation)成功开发出来了新型安全测试产品——Fortify Tracer。
图2:Fortify Tracer 安全测试报告
Fortify Tracer 利用动态污染传播方法的特点,首先对软件的二进制代码进行插桩分析,找出所有的Source, Sink代码,建立检测机制。然后再对程序进行常规的功能测试。测试过程不需要测试人员输入任何带攻击性的测试数据,可以进行安全测试了,Fortify Tracer会根据功能测试自动地找出软件中所有可能因外部输入数据而造成的安全问题,并根据漏洞类类清晰地报告出来。总结Fortify racer的主要特点有:
1.无需特殊的攻击性测试数据,让QA人员都可以做安全测试。解决测试缺乏安全知识,攻击知识的难题。
2.由于直接跟踪外部输入数据,所以能够很真实、有效地找出系统中严重,关键的安全问题。
3.与功能并行,速度快,效率高,很容易与现有测试流程结合。同时利用功能测试覆盖率高的优点,大大提高了动态安全测试
的覆盖率。
4.清晰而详细的报告。如上图2所示,Fortify Tracer根据漏洞类别清晰地报告出来,点击报出的每一个漏洞,Fortify Tracer可以定位到该漏洞在什么地方产生的。它的Source和Sink分别在哪里等清晰而又详细的报告。
四、总结:
良好的测试方法加上的测试工具一定能够更好地帮助软件企业做好软件安全测试。对于一个软件企业,如果能将软件质量测试与软件安全测试有效地结合,不但能很好地解决软件安全测试问题,同时也可以使得测试团队的工作效率更高,那么基于Dynamic Taint Propagation测试方法的Fortify Tracer将是一个不错的选择。
相关推荐
更新发布
功能测试和接口测试的区别
2023/3/23 14:23:39如何写好测试用例文档
2023/3/22 16:17:39常用的选择回归测试的方式有哪些?
2022/6/14 16:14:27测试流程中需要重点把关几个过程?
2021/10/18 15:37:44性能测试的七种方法
2021/9/17 15:19:29全链路压测优化思路
2021/9/14 15:42:25性能测试流程浅谈
2021/5/28 17:25:47常见的APP性能测试指标
2021/5/8 17:01:11